use*_*934 4 windows time-zone event-log event-viewer
我对 Windows 事件日志中显示的时区有疑问。
我读过,如果我从另一台计算机导出 Windows 事件日志并在具有不同时区的计算机中打开它,则事件的时间将转换为我的时区。
场景是我正在调试 JST 时区的虚拟机中发生的问题。当我在位于 IST 时区的本地计算机中打开文件时,我可以在 Windows 日志中看到这样记录的事件 -
进程 C:\Program Files\Altek\Agent\bin\altekbin.exe (VERY1) 代表用户 NT AUTHORITY\SYSTEM 启动了计算机 VERY1 的关闭,原因如下:找不到此原因的标题 原因代码:0x3000c
记录时间:2020 年 1 月 23 日 18:20:13
由于在 IST 的我的机器上显示的时间为 18:20:13,因此我认为 JST 发生的实际时间是 JST 21.50。我的理解正确吗?这个时间戳转换让我有点困惑,所以如果有人能消除我的疑虑,我将不胜感激?
事件以 UTC 时间存储,但以您的当地时间显示。
操作系统始终使用 UTC 时间戳,但事件查看器(与其他程序一样)会将它们转换为您的本地时区以供显示。.evtx 文件是本地生成的还是从另一个时区的系统复制的并不重要;它仍会使用 UTC 作为基准,并且 Eventvwr 仍会调整为您的当地时间。
您可以在“详细信息”视图中找到带有时区指示器的时间戳:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<TimeCreated SystemTime="2020-03-10T07:18:23.000000000Z" />
...
</System>
</Event>