Cuando se consulta la clase de WMI Win32_NTLogEvent con WQL es propiedad TimeGenerated basado en el tiempo local del equipo o GMT?
https://stackoverflow.com/questions/3063289
-
28-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy escribiendo un servicio C # ventanas que se está haciendo un batido a través del registro de eventos en unos controladores de dominio. Algunos de ellos son de Windows Server 2003 y algunos son Windows Server 2008. Después de detener el servicio que estoy tratando de reanudar donde lo dejé en los registros. Con el fin de hacer esto en lugar de
SELECT * FROM Win32_NTLogEvent WHERE --criteria for events I am looking for
Estoy haciendo
SELECT * FROM Win32_NTLogEvent WHERE TimeGenerated = --some date AND --criteria for events I am looking for
En un momento yo estaba convencido de que el campo TimeGenerated estaba en la hora local del servidor, pero ahora parece que los servidores de Windows 2008 GMT están utilizando para grabar ese momento. ¿Alguien puede arrojar algo de luz sobre si se trata de una verdadera diferente entre la forma de funcionar de los dos sistemas operativos o se trata de un problema de configuración?
Solución
marcas de hora de Windows siempre se registran en UTC. Sólo se convertirán a la hora local en cualquier programa de interfaz gráfica de usuario que se utiliza para mirar los datos, como el Visor de sucesos o en el Explorador (para tiempos de archivo). Este comportamiento es importante para evitar el fracaso al azar en el horario de verano transiciones de tiempo.
Otros consejos
Además, parece que en las versiones anteriores a Windows Server 2008 TimeGenerated fue devuelto en el tiempo local, pero cambió a GMT en Server 2008, como otros han notado.
Algo como esto puede ser útil:
("Select * from Win32_NTLogEvent Where Logfile = 'Application' AND EventCode = '999' AND Message Like '%message%' AND TimeGenerated = '201202210000000000.000000+***'")
La sintaxis TimeGenerated es de configuración hacia atrás por lo que en el ejemplo por encima de su yearmonthdaytimeminutesseconds.000000+\*** se necesita la 000000+\*** anterior.
Espero que esto ayude.
