Rastreio de alteração de data do sistema no windows xp

0

Eu queria rastrear quando o horário do sistema foi alterado em um PC. Ao analisar o visualizador de eventos para o evento id 520, eu o conseguirei. Mas quando mudei a data manualmente no windows e olhei para o visualizador de eventos, encontrei 4 entradas para uma única alteração de data.

Agora Em que 4 últimas entradas tem abaixo descrição

The system time was changed.
 Process ID:    1932
 Process Name:  C:\WINDOWS\system32\rundll32.exe
 Primary User Name: nav
 Primary Domain:    PC132
 Primary Logon ID:  (0x0,0x115A0)
 Client User Name:  nav
 Client Domain: PC132
 Client Logon ID:   (0x0,0x115A0)
 Previous Time: 10:18:32 AM 8/23/2013
 New Time:  10:18:32 AM 8/24/2013

Todas as outras três entradas mostram

The system time was changed.
 Process ID:    1932
 Process Name:  C:\WINDOWS\system32\rundll32.exe
 Primary User Name: navaneeth a
 Primary Domain:    PC132
 Primary Logon ID:  (0x0,0x115A0)
 Client User Name:  navaneeth a
 Client Domain: PC132
 Client Logon ID:   (0x0,0x115A0)
 Previous Time: 10:18:32 AM 8/24/2013
 New Time:  10:18:32 AM 8/24/2013

Qual é o significado dessas 4 entradas para uma mudança de data?

Existe também algum método para obter histórico ou registro de data do sistema?

    
por IT researcher 23.08.2013 / 07:08

1 resposta

0

Para explicar a ID do evento -520:

Nome do processo : caminho e nome do processo que alterou a hora. Geralmente serão rundll32.exe (Painel de Controle), cmd.exe (comando Time) ou svchost (se o tempo foi alterado pelo sistema em conexão com o serviço de sincronização de tempo do Windows ou NTP)

Nome de usuário principal : corresponderá ao sistema local se alterado automaticamente; caso contrário, identificará o usuário real se alterado por meio do painel de controle ou do comando de hora.

Domínio principal : domínio do usuário

ID de logon principal : está correlacionado ao ID de logon na ID de evento da sessão de logon do usuário 528 ou 540

Nome de usuário do cliente : seu nome de login

Domínio do cliente : seu domínio interno

ID de login do cliente : id de logon

Hora anterior : hora do sistema anterior

Novo horário : tempo atual alterado

Além disso, a quarta entrada tem identificação de evento: 515

De technet :

Este registro de evento indica que um processo de logon foi registrado com a autoridade de segurança local (LSA). Além disso, as solicitações de logon agora serão aceitas a partir dessa fonte.Os processos de logon são componentes confiáveis responsáveis por coletar informações de identificação e autenticação de dispositivos externos, como terminais e redes. Eles usam os serviços da Autoridade de Segurança Local para registrar esses usuários. Um único sistema pode suportar simultaneamente vários processos de logon.

A data do seu sistema

Como alternativa, você pode tentar myeventviewer para acompanhar as alterações.

Eu suponho que a sobregravação está desativada nas propriedades do visualizador de eventos, portanto, os logs podem ser registrados várias vezes

    
por 23.08.2013 / 08:05