Wenn die Win32_NTLogEvent Klasse von WMI mit WQL Abfrage wird die Eigenschaft auf Timegenerated Ortszeit des Computers oder GMT basiert?

Question

Ich schreibe einen C # Windows-Dienst, der auf einige Domänencontrollern etwas am laufenden Band durch die eventlog tut. Einige von ihnen sind Windows Server 2003 und einige sind Windows Server 2008. Bei dem Dienst zu stoppen Ich versuche, wieder aufnehmen, wo ich in den Protokollen aufgehört hat. Um dies anstelle von

zu tun

SELECT * FROM Win32_NTLogEvent WHERE --criteria for events I am looking for

Ich tue

SELECT * FROM Win32_NTLogEvent WHERE TimeGenerated = --some date AND --criteria for events I am looking for

An einem Punkt war ich davon überzeugt, dass die Timegenerated Feld in der lokalen Zeit des Servers war aber jetzt scheint es, dass die Windows 2008 Server GMT verwenden, die Zeit aufzuzeichnen. Kann jemand etwas Licht auf, wenn es sich um einen echten Unterschied zwischen der Art, wie die beiden Betriebssysteme funktionieren oder ist dies ein Konfigurationsproblem?

Answer 1

Windows-Zeitstempel werden immer in UTC aufgezeichnet. Sie werden nur in der lokalen Zeit in welchem ??GUI-Programm erhalten Sie bei Daten suchen benutzen umgewandelt werden, wie die Ereignisanzeige oder Explorer (für Datei-mal). Dieses Verhalten ist wichtig, zufällige Fehler auf Sommerzeit Übergängen zu vermeiden.

Answer 2

Darüber hinaus scheint es, dass Windows in den Versionen vor Server 2008 wurde in Timegenerated Ortszeit zurück, aber zu GMT in Server 2008 geändert, wie andere bemerkt worden sind.

• http: // Sozial .msdn.microsoft.com / Foren / en / servercorefordevelopers / thread / e933b476-5d30-4629-955d-6828ec3e8002
• http://www.ms-news.net/f3617/win32_ntlogevent -11570228.html
• http://84.45.57.224/win32-ntlogEvent-timegenerated -ist-in-gmt_topic21473.html

Answer 3

So etwas kann hilfreich sein:

("Select * from Win32_NTLogEvent Where Logfile = 'Application' AND EventCode = '999' AND Message Like '%message%' AND TimeGenerated = '201202210000000000.000000+***'")

Die Syntax ist TimeGenerated Setup nach hinten, so in dem obigen Beispiel seines yearmonthdaytimeminutesseconds.000000+\*** der vorhergehende 000000+\*** benötigt wird.

Hope, das hilft.