Windows XPでのシステム日付変更の追跡


0

PCでシステム時間が変更されたときを追跡したいのですが、イベントビューアーを見て、イベントID 520を取得します。しかし、ウィンドウで手動で日付を変更し、イベントビューアーを見ると、1つの日付変更で4つのエントリが見つかりました。

ここに画像の説明を入力してください

さて、その4つのエントリの最後のエントリには以下の説明があります

The system time was changed.
 Process ID:    1932
 Process Name:  C:\WINDOWS\system32\rundll32.exe
 Primary User Name: nav
 Primary Domain:    PC132
 Primary Logon ID:  (0x0,0x115A0)
 Client User Name:  nav
 Client Domain: PC132
 Client Logon ID:   (0x0,0x115A0)
 Previous Time: 10:18:32 AM 8/23/2013
 New Time:  10:18:32 AM 8/24/2013

他の3つのエントリはすべて表示します

The system time was changed.
 Process ID:    1932
 Process Name:  C:\WINDOWS\system32\rundll32.exe
 Primary User Name: navaneeth a
 Primary Domain:    PC132
 Primary Logon ID:  (0x0,0x115A0)
 Client User Name:  navaneeth a
 Client Domain: PC132
 Client Logon ID:   (0x0,0x115A0)
 Previous Time: 10:18:32 AM 8/24/2013
 New Time:  10:18:32 AM 8/24/2013

日付変更に対するこれら4つのエントリの意味は何ですか?

また、システムの日付変更履歴またはログを取得する方法はありますか?

回答:


0

イベントID -520を説明するには:

プロセス名:時間を変更したプロセスのパスと名前。通常、rundll32.exe(コントロールパネル)、cmd.exe(時刻コマンド)、またはsvchost(Windows時刻同期サービスまたはNTPに関連してシステムによって時刻が変更された場合)

プライマリユーザー名:自動的に変更された場合、ローカルシステムに対応します。それ以外の場合は、コントロールパネルまたは時間コマンドで変更された場合、実際のユーザーを識別します。

プライマリドメイン:ユーザーのドメイン

プライマリログオンID:ユーザーのログオンセッションイベントID 528または540のログオンIDと相関

クライアントユーザー名:ログイン名

クライアントドメイン:内部ドメイン

クライアントログオンID:ログオンID

前の時間:前のシステム時間

新しい時間:現在の変更された時間

それに加えて、4番目のエントリのイベントIDは515です。

テクネットから:

このイベントレコードは、ログオンプロセスがローカルセキュリティ機関(LSA)に登録されたことを示します。また、このソースからのログオン要求が受け入れられるようになります。ログオンプロセスは、端末やネットワークなどの外部デバイスから識別情報と認証情報を収集する信頼できるコンポーネントです。これらのユーザーは、ローカルセキュリティ機関サービスを使用してログオンします。1つのシステムで複数のログオンプロセスを同時にサポートできます。

システムの日付

あるいは、変更を追跡し続けるためにmyeventviewerを試すことができます。

イベントビューアのプロパティで上書きが無効になっているため、ログが複数回記録される可能性があります


1
これらは、各詳細が参照するものについての単なる説明です。しかし、日付を一度だけ変更すると、イベントビューアーに4つのイベントが書き込まれる理由を知りたいですか?
ITの研究者
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.