ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer showing system event logs on a monitoring dashboard
Event ID 12010InformationMicrosoft-Windows-Kernel-GeneralWindows

ID d'événement Windows 12010 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 12010 se déclenche lorsque Windows détecte un changement de l'heure système, qu'il soit manuel ou automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation temporelle dans les environnements de domaine.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 12010Microsoft-Windows-Kernel-General 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 12010 représente un mécanisme fondamental de surveillance du système qui suit toutes les modifications de l'heure sur les systèmes Windows. L'événement au niveau du noyau se déclenche immédiatement lorsque l'horloge du système change, quelle que soit la source - qu'il s'agisse d'actions de l'utilisateur, de la synchronisation du service Windows Time ou de corrections de l'horloge matérielle.

L'événement contient des données judiciaires critiques, y compris la valeur temporelle précédente, la nouvelle valeur temporelle et le processus ou service responsable du changement. Ce détail granulaire le rend inestimable pour les enquêtes de sécurité où une falsification de l'heure pourrait être suspectée. Dans les environnements d'entreprise, une heure cohérente sur tous les systèmes est cruciale pour la validation des tickets Kerberos, qui repose par défaut sur une synchronisation temporelle dans une fenêtre de 5 minutes.

Les systèmes Windows modernes en 2026 ont des capacités de suivi du temps améliorées, avec une précision accrue et des métadonnées supplémentaires dans l'ID d'événement 12010. L'événement inclut désormais une attribution de source plus détaillée et peut distinguer entre différents types d'ajustements temporels, tels que les corrections NTP progressives par rapport aux changements manuels soudains. Cette journalisation améliorée aide les administrateurs à identifier les sources temporelles problématiques et à maintenir une meilleure intégrité chronologique dans leur infrastructure.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Ajustement manuel de l'heure via les paramètres Date et Heure ou la commande date
  • Service de temps Windows (W32Time) synchronisant avec les serveurs NTP
  • Correction de la dérive de l'horloge matérielle lors du démarrage du système
  • Changements de fuseau horaire ou transitions de l'heure d'été
  • Synchronisation de l'heure du contrôleur de domaine dans les environnements Active Directory
  • Logiciel tiers de synchronisation de l'heure effectuant des ajustements
  • Synchronisation de l'heure de la machine virtuelle avec l'hôte hyperviseur
  • Mise à jour de l'heure système par le firmware BIOS/UEFI lors du démarrage
  • Client du protocole de temps réseau (NTP) recevant des mises à jour de l'heure
  • Récupération du système après hibernation ou veille avec une dérive temporelle significative
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'occurrence de l'ID d'événement 12010 pour comprendre ce qui a déclenché le changement d'heure.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez pour l'ID d'événement 12010 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
  4. Entrez 12010 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 12010 pour voir des informations détaillées
  6. Notez les valeurs Ancienne heure et Nouvelle heure dans la description de l'événement
  7. Vérifiez l'ID de processus et le Nom du processus qui a initié le changement d'heure

Utilisez PowerShell pour une analyse plus détaillée :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=12010} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
Astuce pro : Le message de l'événement contient des données XML avec des horodatages précis - utilisez cela pour l'analyse médico-légale des tentatives de manipulation du temps.
02

Analyser la configuration du service de temps Windows

Enquêter sur les paramètres du service Windows Time pour déterminer si la synchronisation automatique de l'heure provoque des entrées fréquentes de l'ID d'événement 12010.

  1. Vérifier l'état actuel du service de temps :
w32tm /query /status
w32tm /query /configuration
  1. Examiner les sources de synchronisation de l'heure :
w32tm /query /peers
  1. Vérifier les paramètres du registre du service de temps :
Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters"
  1. Examiner les journaux de synchronisation de l'heure :
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Time-Service'} -MaxEvents 50
  1. Si dans un environnement de domaine, vérifier la source de temps du contrôleur de domaine :
w32tm /query /source
Avertissement : Désactiver la synchronisation automatique de l'heure peut entraîner des échecs d'authentification Kerberos dans les environnements de domaine.
03

Surveiller la dérive temporelle et les problèmes d'horloge matérielle

Enquêter sur les problèmes potentiels de l'horloge matérielle qui pourraient causer des corrections fréquentes de l'heure et des occurrences de l'ID d'événement 12010.

  1. Vérifiez le temps de fonctionnement du système et les événements de démarrage récents :
Get-CimInstance -ClassName Win32_OperatingSystem | Select-Object LastBootUpTime, LocalDateTime
Get-WinEvent -FilterHashtable @{LogName='System'; Id=6005,6006} -MaxEvents 10
  1. Surveillez la dérive temporelle sur une période :
# Créer une tâche planifiée pour enregistrer l'heure chaque heure
$action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command 'Get-Date | Out-File C:\temp\timelog.txt -Append'"
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Hours 1)
Register-ScheduledTask -TaskName "TimeMonitor" -Action $action -Trigger $trigger
  1. Vérifiez l'heure du BIOS/UEFI par rapport à l'heure de Windows :
# Comparer l'horloge matérielle avec l'heure système
Get-WmiObject -Class Win32_BIOS | Select-Object ReleaseDate
Get-Date
  1. Examinez les modèles de l'ID d'événement 12010 :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=12010} | Group-Object {$_.TimeCreated.Date} | Sort-Object Name
  1. Pour les machines virtuelles, vérifiez les paramètres de synchronisation de l'heure dans la console de gestion de l'hyperviseur
Conseil pro : Des entrées fréquentes de l'ID d'événement 12010 (plus d'une fois par heure) indiquent souvent une batterie CMOS défaillante ou une synchronisation temporelle de virtualisation mal configurée.
04

Mettre en œuvre la surveillance et l'alerte des changements de temps

Configurez une surveillance complète pour suivre et alerter sur les changements d'heure suspects qui génèrent l'ID d'événement 12010.

  1. Créez un script PowerShell pour surveiller les changements d'heure :
# TimeChangeMonitor.ps1
$logName = 'System'
$eventId = 12010
$lastCheck = (Get-Date).AddHours(-1)

$events = Get-WinEvent -FilterHashtable @{LogName=$logName; Id=$eventId; StartTime=$lastCheck}

foreach ($event in $events) {
    $xml = [xml]$event.ToXml()
    $oldTime = $xml.Event.EventData.Data[0].'#text'
    $newTime = $xml.Event.EventData.Data[1].'#text'
    
    Write-Output "Changement d'heure détecté : $oldTime -> $newTime"
    
    # Ajoutez ici la logique d'alerte (email, SIEM, etc.)
}
  1. Configurez le transfert d'événements Windows pour une surveillance centralisée :
# Sur le serveur collecteur
wecutil qc

# Créez un abonnement pour l'ID d'événement 12010
wecutil cs TimeChangeSubscription.xml
  1. Configurez un journal d'événements personnalisé pour le suivi des changements d'heure :
New-EventLog -LogName "TimeAudit" -Source "TimeChangeMonitor"
Write-EventLog -LogName "TimeAudit" -Source "TimeChangeMonitor" -EventId 1001 -Message "Surveillance des changements d'heure démarrée"
  1. Créez une tâche planifiée pour une surveillance régulière :
$action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\TimeChangeMonitor.ps1"
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15)
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
Register-ScheduledTask -TaskName "TimeChangeMonitor" -Action $action -Trigger $trigger -Principal $principal
Astuce pro : Dans les environnements à haute sécurité, envisagez de mettre en œuvre une journalisation de l'heure à l'épreuve des altérations avec des signatures cryptographiques pour détecter les tentatives de manipulation de l'heure.
05

Analyse médico-légale avancée et investigation de la source temporelle

Effectuer une analyse médico-légale approfondie des changements de temps pour les enquêtes de sécurité et l'audit de conformité.

  1. Extraire des données XML détaillées de l'ID d'événement 12010 :
$events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=12010} -MaxEvents 100

foreach ($event in $events) {
    $xml = [xml]$event.ToXml()
    $props = @{
        TimeCreated = $event.TimeCreated
        OldTime = $xml.Event.EventData.Data[0].'#text'
        NewTime = $xml.Event.EventData.Data[1].'#text'
        ProcessId = $xml.Event.EventData.Data[2].'#text'
        ProcessName = $xml.Event.EventData.Data[3].'#text'
    }
    New-Object PSObject -Property $props
} | Export-Csv -Path "C:\temp\TimeChanges.csv" -NoTypeInformation
  1. Corréler avec les événements d'exécution de processus :
# Trouver les processus qui ont changé le temps
$timeChangeEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=12010}
$processIds = $timeChangeEvents | ForEach-Object { ([xml]$_.ToXml()).Event.EventData.Data[2].'#text' }

# Rechercher les événements de création de processus
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object {
    $processIds -contains ([xml]$_.ToXml()).Event.EventData.Data[4].'#text'
}
  1. Analyser le trafic de synchronisation du temps réseau :
# Vérifier le trafic NTP (nécessite des privilèges élevés)
netsh trace start capture=yes provider=Microsoft-Windows-TCPIP tracefile=C:\temp\ntp_trace.etl
# Attendre que la synchronisation du temps se produise
netsh trace stop
  1. Examiner les journaux d'audit de sécurité pour l'utilisation des privilèges de temps :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4673} | Where-Object {
    $_.Message -like "*SeSystemtimePrivilege*"
} | Select-Object TimeCreated, Id, @{Name='User';Expression={([xml]$_.ToXml()).Event.EventData.Data[1].'#text'}}
  1. Générer un rapport complet sur les changements de temps :
# Rapport d'analyse de temps complet
$report = @()
$timeEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=12010} -MaxEvents 1000

foreach ($event in $timeEvents) {
    $xml = [xml]$event.ToXml()
    $oldTime = [datetime]$xml.Event.EventData.Data[0].'#text'
    $newTime = [datetime]$xml.Event.EventData.Data[1].'#text'
    $timeDiff = ($newTime - $oldTime).TotalSeconds
    
    $report += [PSCustomObject]@{
        EventTime = $event.TimeCreated
        OldTime = $oldTime
        NewTime = $newTime
        TimeDifferenceSeconds = $timeDiff
        ProcessName = $xml.Event.EventData.Data[3].'#text'
        Suspicious = [Math]::Abs($timeDiff) -gt 300  # Signaler les changements > 5 minutes
    }
}

$report | Export-Csv -Path "C:\temp\TimeChangeAnalysis.csv" -NoTypeInformation
Avertissement : La manipulation du temps peut être utilisée pour échapper aux systèmes de détection. Toujours corréler l'ID d'événement 12010 avec d'autres événements de sécurité lors de la réponse aux incidents.

Aperçu

L'ID d'événement 12010 de Microsoft-Windows-Kernel-General se connecte chaque fois que Windows détecte un changement de l'heure système. Cet événement se déclenche lors des ajustements manuels de l'heure, de la synchronisation automatique de l'heure via le service de temps Windows, ou lorsque la dérive de l'horloge matérielle est corrigée. L'événement capture à la fois les anciennes et nouvelles valeurs de temps, ce qui le rend essentiel pour l'audit de sécurité et le suivi de la conformité.

Cet événement apparaît dans le journal Système et fournit des informations détaillées sur ce qui a déclenché le changement de l'heure, qu'il ait été initié par l'utilisateur, piloté par un service, ou causé par des sources de temps externes. Dans les environnements de domaine, cet événement aide les administrateurs à suivre les problèmes de synchronisation de l'heure qui peuvent impacter l'authentification Kerberos et la réplication Active Directory.

L'événement devient particulièrement important dans les environnements nécessitant une précision stricte de l'heure pour les transactions financières, la conformité des journaux, ou l'analyse judiciaire. Les équipes de sécurité surveillent cet événement pour détecter d'éventuelles attaques de manipulation du temps ou identifier les systèmes avec des horloges matérielles défaillantes qui pourraient affecter l'intégrité des pistes d'audit.

Questions Fréquentes

Que signifie l'ID d'événement Windows 12010 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 12010 indique que l'heure système a été modifiée sur votre machine Windows. Vous devriez vous inquiéter si vous constatez des occurrences fréquentes (plus d'une fois par heure) sans explication, de grands sauts de temps (plus de quelques minutes), ou des changements d'heure pendant des périodes suspectes. Dans des opérations normales, vous verrez cet événement lors de la synchronisation automatique NTP, des changements d'heure d'été, ou des ajustements manuels de l'heure. Cependant, des changements d'heure inattendus peuvent indiquer une défaillance de l'horloge matérielle, un logiciel malveillant tentant d'échapper à la détection, ou un accès non autorisé au système.
Comment puis-je distinguer entre les occurrences légitimes et suspectes de l'ID d'événement 12010 ?+
Les événements légitimes d'ID d'événement 12010 montrent généralement de petits ajustements de temps (secondes à minutes) du service de temps Windows (w32tm.exe) ou se produisent lors d'événements prévisibles comme le démarrage ou les changements de fuseau horaire. Les événements suspects incluent de grands sauts de temps (heures ou jours), des changements initiés par des processus inattendus, des changements de temps pendant les heures creuses sans maintenance programmée, ou des motifs qui correspondent à d'autres événements de sécurité. Vérifiez le nom du processus dans les détails de l'événement - les changements légitimes proviennent généralement de processus système comme w32tm.exe, svchost.exe, ou winlogon.exe.
Pourquoi vois-je fréquemment l'ID d'événement 12010 sur mes machines virtuelles ?+
Les machines virtuelles génèrent couramment l'ID d'événement 12010 en raison de la synchronisation temporelle entre le système d'exploitation invité et l'hôte hyperviseur. C'est un comportement normal lorsque la synchronisation temporelle de la VM est activée. Cependant, des événements fréquents (toutes les quelques minutes) pourraient indiquer des problèmes de configuration. Vérifiez les paramètres de votre hyperviseur pour assurer une configuration correcte de la synchronisation temporelle, vérifiez que le service Windows Time et la synchronisation temporelle de la VM ne sont pas en conflit, et envisagez d'ajuster les intervalles de synchronisation temporelle. Dans les environnements VMware, vous pourriez avoir besoin de désactiver le service Windows Time sur les membres du domaine et de vous fier à la synchronisation temporelle de l'hyperviseur à la place.
L'ID d'événement 12010 peut-il affecter l'authentification Active Directory et comment puis-je prévenir les problèmes ?+
Oui, les changements d'heure suivis par l'ID d'événement 12010 peuvent gravement affecter l'authentification Active Directory. Kerberos nécessite une synchronisation temporelle dans les 5 minutes (par défaut) entre le client et le contrôleur de domaine. De grands changements d'heure peuvent entraîner des échecs d'authentification, des verrouillages de compte et des problèmes de réplication. Pour éviter les problèmes : assurez-vous que tous les membres du domaine synchronisent l'heure avec les contrôleurs de domaine en utilisant 'w32tm /config /syncfromflags:domhier', surveillez l'ID d'événement 12010 pour des changements d'heure importants inattendus, configurez une hiérarchie NTP appropriée avec l'émulateur PDC comme source de temps autoritaire, et envisagez de réduire MaxClockSkew dans la politique Kerberos pour les environnements à haute sécurité.
Comment configurer la surveillance et les alertes pour les changements d'heure suspects dans l'ID d'événement 12010 ?+
Configurez une surveillance complète en créant des scripts PowerShell qui analysent les données XML de l'ID d'événement 12010 pour extraire les différences de temps et les informations de processus. Utilisez le transfert d'événements Windows pour centraliser les événements de changement de temps provenant de plusieurs systèmes. Configurez des règles SIEM pour alerter sur les changements de temps dépassant les seuils (par exemple, >5 minutes), les changements de temps provenant de processus inattendus ou plusieurs changements de temps rapides. Mettez en œuvre des tâches planifiées qui exécutent des scripts de surveillance toutes les 15 minutes et envoient des alertes par e-mail ou SNMP. Pour les environnements d'entreprise, envisagez d'utiliser System Center Operations Manager ou des outils tiers qui peuvent corréler l'ID d'événement 12010 avec d'autres événements de sécurité pour une détection complète des menaces.
Documentation

Références (2)

1
Microsoft Learn - Windows Time ServiceOfficial documentation for Windows Time service configuration and troubleshootinghttps://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/
2
Microsoft Docs - Event Logging ReferenceComprehensive reference for Windows event logging mechanisms and kernel eventshttps://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging-reference
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-events#time-synchronization#event-id-12010

Événements Windows associés

Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 16388
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16388 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 16388 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 16384
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16384 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 16384 se déclenche lorsque Windows détecte un changement de l'heure système, soit manuel, soit automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure dans les environnements de domaine.

18 mars9 min
Windows Event Viewer displaying system time change events on a monitoring dashboard
Event 11728
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11728 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11728 se déclenche lorsque Windows détecte un changement de l'heure système, généralement à partir de services de synchronisation de l'heure, d'ajustements manuels ou de corrections de dérive de l'horloge matérielle.

18 mars12 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 11724
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11724 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11724 indique que le noyau Windows a détecté un changement de l'heure système, généralement déclenché par des services de synchronisation de l'heure, des ajustements manuels ou des corrections de dérive de l'horloge matérielle.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...