ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying system time change events on a monitoring dashboard
Event ID 11728InformationMicrosoft-Windows-Kernel-GeneralWindows

ID d'événement Windows 11728 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11728 se déclenche lorsque Windows détecte un changement de l'heure système, généralement à partir de services de synchronisation de l'heure, d'ajustements manuels ou de corrections de dérive de l'horloge matérielle.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 11728Microsoft-Windows-Kernel-General 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 11728 représente le mécanisme interne de Windows pour enregistrer les modifications de l'heure système au niveau du noyau. Lorsque l'heure système change de plus qu'un seuil minimal, le noyau génère cet événement pour maintenir une trace d'audit des modifications temporelles. L'événement capture l'heure système précédente, la nouvelle heure système, et le processus responsable du changement.

Le fournisseur Microsoft-Windows-Kernel-General génère cet événement dans le cadre des capacités de surveillance du système central de Windows. Contrairement aux notifications de changement d'heure au niveau utilisateur, cet événement au niveau du noyau ne peut pas être supprimé ou filtré par les applications, garantissant une visibilité complète des modifications de l'heure système. L'événement inclut des informations détaillées sur l'ampleur du changement d'heure et le processus source.

Dans les environnements d'entreprise, cet événement devient crucial pour maintenir la synchronisation de l'heure à travers les systèmes distribués. L'authentification Active Directory repose fortement sur une heure synchronisée, les tickets Kerberos échouant lorsque le décalage horaire dépasse cinq minutes par défaut. L'événement 11728 aide les administrateurs à identifier les systèmes subissant une dérive temporelle avant que des échecs d'authentification ne se produisent.

L'événement joue également un rôle vital dans les enquêtes judiciaires et les audits de conformité. De nombreux cadres réglementaires exigent que les organisations maintiennent des traces d'audit précises des modifications du système, y compris les changements d'heure. L'événement 11728 fournit les preuves nécessaires pour démontrer l'intégrité de la synchronisation de l'heure et identifier les tentatives potentielles de falsification.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Service de temps Windows (W32Time) synchronisant avec des serveurs NTP
  • Ajustement manuel de l'heure via les Paramètres Windows ou le Panneau de configuration
  • Correction de la dérive de l'horloge matérielle lors du démarrage du système
  • Synchronisation de l'heure de la machine virtuelle avec l'hôte hyperviseur
  • Logiciel de synchronisation de l'heure tiers effectuant des ajustements
  • Reprise du système après hibernation ou veille avec une dérive temporelle significative
  • Mise à jour du temps système par le firmware BIOS/UEFI lors du démarrage
  • Corrections du protocole de temps réseau après la restauration de la connectivité
  • Ajustements automatiques de l'heure d'été
  • Changements de fuseau horaire appliqués par Windows ou des applications
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 11728 pour comprendre le contexte et l'ampleur du changement d'heure.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 11728 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 11728 pour voir des informations détaillées
  6. Examinez l'onglet Général pour les détails du changement d'heure, y compris l'ancienne heure, la nouvelle heure et le delta de temps
  7. Vérifiez l'onglet Détails pour des données XML supplémentaires, y compris les informations sur le processus

Utilisez PowerShell pour une analyse plus détaillée :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=11728} -MaxEvents 20 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap
Astuce pro : Recherchez des motifs dans les changements d'heure - des intervalles réguliers suggèrent une synchronisation NTP normale, tandis que des changements importants et irréguliers peuvent indiquer des problèmes matériels.
02

Analyser la configuration de synchronisation temporelle

Enquêter sur la configuration du service de temps Windows pour déterminer si les changements de temps sont un comportement attendu.

  1. Ouvrir une session d'invite de commandes ou PowerShell avec élévation de privilèges
  2. Vérifier l'état actuel du service de temps :
w32tm /query /status
  1. Examiner la configuration du service de temps :
w32tm /query /configuration
  1. Vérifier les sources du serveur NTP :
w32tm /query /peers
  1. Pour les systèmes joints à un domaine, vérifier la synchronisation du temps du contrôleur de domaine :
w32tm /monitor /domain
  1. Examiner les paramètres du registre du service de temps à HKLM\SYSTEM\CurrentControlSet\Services\W32Time
  2. Vérifier la présence de logiciels de synchronisation de temps tiers dans Programmes et fonctionnalités
Avertissement : Modifier les paramètres du service de temps sur les contrôleurs de domaine peut affecter l'authentification de tout le domaine.
03

Surveiller les modèles de dérive temporelle avec PowerShell

Créer une analyse complète des modèles de changement de temps pour identifier les problèmes sous-jacents.

  1. Extraire des informations détaillées sur les changements de temps :
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=11728; StartTime=(Get-Date).AddDays(-30)}
$TimeChanges = $Events | ForEach-Object {
    $XML = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        OldTime = $XML.Event.EventData.Data[0].'#text'
        NewTime = $XML.Event.EventData.Data[1].'#text'
        ProcessId = $XML.Event.EventData.Data[2].'#text'
    }
}
$TimeChanges | Export-Csv -Path "C:\Temp\TimeChanges.csv" -NoTypeInformation
  1. Analyser la fréquence des changements de temps :
$TimeChanges | Group-Object {$_.TimeCreated.Date} | Select-Object Name, Count | Sort-Object Name
  1. Calculer la dérive moyenne du temps :
$TimeChanges | ForEach-Object {
    $OldTime = [DateTime]$_.OldTime
    $NewTime = [DateTime]$_.NewTime
    $DriftSeconds = ($NewTime - $OldTime).TotalSeconds
    [PSCustomObject]@{
        Date = $_.TimeCreated.Date
        DriftSeconds = $DriftSeconds
    }
} | Measure-Object DriftSeconds -Average -Maximum -Minimum
  1. Mettre en place une surveillance continue avec une tâche planifiée pour suivre la dérive excessive
04

Enquêter sur les problèmes matériels et de virtualisation

Examinez les causes matérielles de la dérive temporelle, particulièrement pertinentes pour les machines virtuelles et le matériel vieillissant.

  1. Pour les machines virtuelles, vérifiez les paramètres de synchronisation temporelle de l'hyperviseur :
# VMware - Vérifiez la synchronisation temporelle des VMware Tools
Get-Service -Name "VMTools" | Select-Object Status, StartType
# Hyper-V - Vérifiez les services d'intégration
Get-VMIntegrationService -VMName $env:COMPUTERNAME -Name "Time Synchronization"
  1. Examinez les informations matérielles du système :
Get-WmiObject -Class Win32_ComputerSystem | Select-Object Manufacturer, Model, TotalPhysicalMemory
Get-WmiObject -Class Win32_BIOS | Select-Object Manufacturer, Version, ReleaseDate
  1. Vérifiez les problèmes d'horloge matérielle dans le journal Système :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=1,6013,35,37} -MaxEvents 50 | Where-Object {$_.Message -like "*time*" -or $_.Message -like "*clock*"}
  1. Pour les systèmes physiques, vérifiez l'état de la batterie CMOS et les paramètres temporels du BIOS
  2. Examinez les paramètres de gestion de l'alimentation qui pourraient affecter l'horloge matérielle :
powercfg /query SCHEME_CURRENT SUB_SLEEP
  1. Vérifiez les journaux de l'Architecture des Erreurs Matérielles de Windows (WHEA) pour les problèmes matériels :
Get-WinEvent -LogName "Microsoft-Windows-Kernel-WHEA/Errors" -MaxEvents 20
05

Configurer la surveillance et l'alerte avancées du temps

Mettre en œuvre une surveillance complète pour détecter et alerter de manière proactive sur les problèmes de synchronisation temporelle.

  1. Créer une vue personnalisée de l'Observateur d'événements pour les événements liés au temps :
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[(EventID=11728 or EventID=1 or EventID=35 or EventID=37)]]</Select>
  </Query>
</QueryList>
  1. Configurer un script de surveillance basé sur PowerShell :
# Enregistrer sous Monitor-TimeChanges.ps1
param(
    [int]$MaxDriftSeconds = 60,
    [string]$EmailTo = "admin@company.com",
    [string]$SMTPServer = "mail.company.com"
)

$RecentEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=11728; StartTime=(Get-Date).AddHours(-1)}
foreach ($Event in $RecentEvents) {
    $XML = [xml]$Event.ToXml()
    $OldTime = [DateTime]$XML.Event.EventData.Data[0].'#text'
    $NewTime = [DateTime]$XML.Event.EventData.Data[1].'#text'
    $DriftSeconds = [Math]::Abs(($NewTime - $OldTime).TotalSeconds)
    
    if ($DriftSeconds -gt $MaxDriftSeconds) {
        $Subject = "Dérive temporelle élevée détectée sur $env:COMPUTERNAME"
        $Body = "Dérive temporelle de $DriftSeconds secondes détectée à $($Event.TimeCreated)"
        Send-MailMessage -To $EmailTo -Subject $Subject -Body $Body -SmtpServer $SMTPServer
    }
}
  1. Créer une tâche planifiée pour la surveillance :
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-TimeChanges.ps1"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Hours 1)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "TimeChangeMonitoring" -Action $Action -Trigger $Trigger -Settings $Settings -RunLevel Highest
  1. Configurer le transfert d'événements Windows pour une surveillance centralisée dans les environnements d'entreprise
  2. Mettre en œuvre SCOM ou d'autres solutions de surveillance pour suivre la synchronisation temporelle à travers l'infrastructure

Aperçu

L'ID d'événement 11728 de Microsoft-Windows-Kernel-General apparaît dans le journal Système chaque fois que Windows détecte un changement de l'heure système. Cet événement se déclenche lors des opérations normales de synchronisation de l'heure, des ajustements manuels de l'heure via le Panneau de configuration ou les Paramètres, ou lorsque le système corrige la dérive de l'horloge matérielle. L'événement capture à la fois les anciennes et nouvelles valeurs de temps, ce qui le rend précieux pour l'audit des changements de temps dans votre environnement.

Cet événement apparaît couramment sur les systèmes joints à un domaine lors de la synchronisation NTP avec les contrôleurs de domaine, les systèmes autonomes se synchronisant avec les serveurs de temps Internet, ou les machines virtuelles subissant des corrections de dérive de temps. Bien que généralement informatif, des occurrences fréquentes peuvent indiquer des problèmes matériels sous-jacents, des problèmes de connectivité réseau ou des services de temps mal configurés.

Les administrateurs système utilisent cet événement pour suivre la santé de la synchronisation de l'heure, enquêter sur les problèmes d'authentification causés par un décalage de temps, et maintenir la conformité avec les exigences d'audit. L'événement fournit des horodatages précis et des informations sur le delta de temps, ce qui le rend essentiel pour l'analyse judiciaire et le dépannage des applications sensibles au temps.

Questions Fréquentes

Que signifie l'ID d'événement 11728 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 11728 indique que Windows a détecté un changement de l'heure système. C'est un comportement normal lors de la synchronisation de l'heure avec les serveurs NTP, des ajustements manuels de l'heure ou des corrections de l'horloge matérielle. Vous devriez vous inquiéter si vous constatez des changements d'heure fréquents et importants (plus de quelques minutes), ce qui pourrait indiquer des problèmes d'horloge matérielle, des problèmes de connectivité réseau ou des préoccupations de sécurité potentielles comme des tentatives de falsification de l'heure.
Comment puis-je distinguer entre une synchronisation temporelle normale et des changements de temps problématiques ?+
La synchronisation temporelle normale implique généralement de petits ajustements (de secondes à minutes) à intervalles réguliers, généralement toutes les quelques heures. Les changements problématiques montrent des motifs irréguliers avec de grands sauts temporels, des corrections fréquentes ou des changements se produisant en dehors des fenêtres de synchronisation prévues. Utilisez PowerShell pour analyser le delta temporel dans les entrées de l'événement 11728 - des ajustements petits et constants indiquent une synchronisation saine, tandis que des changements erratiques et importants suggèrent des problèmes sous-jacents.
L'ID d'événement 11728 peut-il m'aider à résoudre les échecs d'authentification Kerberos ?+
Oui, l'ID d'événement 11728 est crucial pour diagnostiquer les problèmes d'authentification Kerberos causés par un décalage temporel. Kerberos exige que les heures du client et du serveur soient dans un intervalle de 5 minutes par défaut. Examinez les entrées de l'événement 11728 autour du moment des échecs d'authentification pour identifier si des changements de temps se sont produits. Des ajustements de temps importants ou des corrections fréquentes peuvent indiquer que le système ne peut pas maintenir une heure précise, entraînant des problèmes d'authentification.
Pourquoi est-ce que je vois fréquemment l'ID d'événement 11728 sur mes machines virtuelles ?+
Les machines virtuelles subissent souvent des dérives temporelles en raison de la planification du CPU, de la charge du système hôte ou des mécanismes de synchronisation temporelle de l'hyperviseur. VMware Tools, Hyper-V Integration Services et d'autres plateformes de virtualisation corrigent automatiquement la dérive temporelle, générant l'Événement 11728. C'est un comportement normal, mais une fréquence excessive peut indiquer une contention des ressources sur l'hôte ou des paramètres de synchronisation temporelle mal configurés entre l'invité et l'hôte.
Comment puis-je empêcher les entrées excessives d'ID d'événement 11728 d'encombrer mes journaux ?+
Bien que vous ne puissiez pas désactiver l'ID d'événement 11728 (c'est un événement d'audit au niveau du noyau), vous pouvez réduire la fréquence en optimisant la synchronisation temporelle. Configurez des intervalles de sondage NTP appropriés en utilisant 'w32tm /config /update-interval', assurez une connectivité réseau stable aux serveurs de temps, résolvez les problèmes d'horloge matérielle et configurez correctement la synchronisation temporelle de la virtualisation. Pour la gestion des journaux, utilisez des filtres de l'Observateur d'événements ou des règles de transfert de journaux pour séparer les événements temporels des événements système critiques.
Documentation

Références (2)

1
Microsoft Learn - Windows Time Service Technical ReferenceComprehensive documentation on Windows Time Service configuration, troubleshooting, and best practices for enterprise environments.https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tech-ref
2
Microsoft Support - How to configure an authoritative time serverStep-by-step guidance for configuring Windows Time Service in domain environments and troubleshooting common time synchronization issues.https://support.microsoft.com/en-us/help/816042
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#system-monitoring#time-synchronization#event-id-11728

Événements Windows associés

Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 16388
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16388 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 16388 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 16384
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16384 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 16384 se déclenche lorsque Windows détecte un changement de l'heure système, soit manuel, soit automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure dans les environnements de domaine.

18 mars9 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 11724
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11724 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11724 indique que le noyau Windows a détecté un changement de l'heure système, généralement déclenché par des services de synchronisation de l'heure, des ajustements manuels ou des corrections de dérive de l'horloge matérielle.

18 mars9 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 8301
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 8301 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 8301 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...