Назад | Перейти на главную страницу

Какой часовой пояс отображается в журналах событий Windows

У меня есть сомнения относительно часового пояса, отображаемого в журналах событий Windows. Я читал, что если я экспортирую журналы событий Windows с другого компьютера и открою его на своем компьютере, который имеет другой часовой пояс, время событий будет преобразовано в мой часовой пояс. Сценарий заключается в том, что я отлаживаю проблему, которая возникла на виртуальной машине, установленной в часовом поясе JST. Я мог видеть событие в журналах Windows, зарегистрированное таким образом, когда я открывал файл на моем локальном компьютере, который находится в часовом поясе IST -

Процесс C: \ Program Files \ Altek \ Agent \ bin \ altekbin.exe (VERY1) инициировал выключение компьютера VERY1 от имени пользователя NT AUTHORITY \ SYSTEM по следующей причине: Не удалось найти заголовок по этой причине. Код причины. : 0x3000c

Зарегистрирован: 23-01-2020 18:20:13

Поскольку на моей машине, которая находится в IST, время показано как 18:20:13, я думаю, что фактическое время в JST, когда это произошло, было в 21.50 JST. Я правильно понимаю? Это преобразование метки времени немного сбило меня с толку, поэтому был бы признателен, если бы кто-нибудь мог развеять мои сомнения?

Windows сохраняет отметки времени для событий из журнала событий в формате UTC - независимо от текущего настроенного часового пояса компьютера. Однако при просмотре события метка времени преобразуется в местное время - в зависимости от настроек текущего часового пояса.

Таким образом, метка времени события всегда будет отображаться в текущем местном времени - независимо от того, в каком часовом поясе оно было первоначально зарегистрировано.

Пример: событие записывается в 21:30:00 по восточному времени США, а затем весь журнал экспортируется в файл EVTX и отправляется кому-нибудь в Калифорнии, что на 3 часа позже. Если пользователь в Калифорнии (который находится в тихоокеанском времени PST) просматривает то же самое событие, будет показано, что оно было зарегистрировано в 18:30:00 по местному времени. Это потому, что событие было зарегистрировано в Калифорнии в 18:30:00.

Надеюсь, это объясняет.