При запросе класса Win32_ntlogevent из WMI с WQL является полмигенерируемой имуществом на основе местного времени компьютера или GMT?
https://stackoverflow.com/questions/3063289
-
28-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я пишу услугу C # Windows, которая делает некоторый отключение через EventLog на нескольких контроллерах домена. Некоторые из них являются Windows Server 2003 и некоторые являются Windows Server 2008. После остановки службы я пытаюсь возобновить, где я остановился в журналах. Для того, чтобы сделать это вместо
SELECT * FROM Win32_NTLogEvent WHERE --criteria for events I am looking for
я делаю
SELECT * FROM Win32_NTLogEvent WHERE TimeGenerated = --some date AND --criteria for events I am looking for
В какой-то момент я был убежден, что поле TimeGrated была в местном времени сервера, но теперь, кажется, серверы Windows 2008 используют GMT для записи в то время. Может ли кто-нибудь пролить немного света, если это реально отличается между тем, как две операционные системы или это проблема конфигурации?
Решение
Марки времени Windows всегда записываются в UTC. Они будут преобразованы только в местное время в любой программе GUI, которую вы используете, чтобы посмотреть на данные, такие как просмотрщик событий или Explorer (для времени файла). Такое поведение важно, чтобы избежать случайных сбоев на летнее время переходов.
Другие советы
Кроме того, кажется, что в версиях до окончания Windows Server 2008 TimeGenerated был возвращен в местное время, но поменял на GMT на сервере 2008 года, так как другие замечали.
Что-то вроде этого может быть полезно:
("Select * from Win32_NTLogEvent Where Logfile = 'Application' AND EventCode = '999' AND Message Like '%message%' AND TimeGenerated = '201202210000000000.000000+***'")
То TimeGenerated синтаксис настроен назад, так что в приведенном выше примере его yearmonthdaytimeminutesseconds.000000+\*** предыдущий 000000+\*** необходим.
Надеюсь это поможет.
