ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event ID 1511InformationKernel-GeneralWindows

ID d'événement Windows 1511 – Kernel-General : Changement de l'heure système détecté

L'ID d'événement 1511 se déclenche lorsque Windows détecte un changement significatif de l'heure système, soit par ajustement manuel, synchronisation NTP, ou dérive de l'horloge matérielle. Critique pour l'audit de sécurité et le dépannage des applications sensibles au temps.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 1511Kernel-General 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 1511 sert de principal mécanisme de Windows pour suivre les modifications de l'heure système, offrant aux administrateurs une visibilité sur le moment et la raison des changements de l'horloge système. L'événement contient des métadonnées cruciales, y compris la valeur de l'heure précédente, la nouvelle valeur de l'heure et le processus ou service qui a initié le changement.

Cet événement est généré par le composant de gestion du temps du noyau Windows chaque fois qu'il détecte un ajustement de l'heure qui dépasse le seuil normal de dérive de l'horloge. Les déclencheurs courants incluent les changements d'heure manuels via le panneau de configuration Date et Heure, la synchronisation automatique avec les contrôleurs de domaine ou les serveurs NTP, et les corrections appliquées par le service de temps Windows (W32Time).

Les données de l'événement incluent l'ancienne heure système, la nouvelle heure système, et identifient souvent le processus responsable. Pour les machines jointes à un domaine, cela montre fréquemment w32tm.exe ou le service de temps Windows effectuant des ajustements pour maintenir la synchronisation avec la hiérarchie du domaine. Sur les systèmes autonomes, les utilisateurs ajustant manuellement l'horloge ou les logiciels de synchronisation de temps tiers peuvent déclencher cet événement.

D'un point de vue sécurité, l'ID d'événement 1511 est précieux pour détecter une éventuelle falsification de l'heure système, qui pourrait être utilisée pour contourner les contrôles de sécurité basés sur le temps ou masquer les pistes d'audit. Les cadres de conformité exigent souvent la surveillance des changements de temps pour assurer l'intégrité des journaux et une corrélation précise des événements à travers les systèmes.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Ajustement manuel de l'heure via les paramètres de Date et Heure de Windows
  • Synchronisation automatique de l'heure via le service de temps Windows (W32Time)
  • Synchronisation du client NTP avec des serveurs de temps externes
  • Synchronisation de l'heure du contrôleur de domaine dans les environnements Active Directory
  • Correction de la dérive de l'horloge matérielle lors du démarrage du système
  • Logiciel de synchronisation de l'heure tiers effectuant des ajustements
  • Synchronisation de l'heure de la machine virtuelle avec l'hôte hyperviseur
  • Récupération du système après hibernation ou veille avec une dérive temporelle significative
  • Mises à jour de l'heure du firmware BIOS/UEFI
  • Logiciel malveillant tentant de manipuler l'heure du système
Méthodes de résolution

Étapes de dépannage

01

Vérifier les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'occurrence de l'ID d'événement 1511 pour comprendre ce qui a déclenché le changement d'heure.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez pour l'ID d'événement 1511 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
  4. Entrez 1511 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 1511 pour voir les détails
  6. Examinez l'onglet Général pour l'heure ancienne, la nouvelle heure et la différence de temps
  7. Vérifiez l'onglet Détails pour des informations supplémentaires sur le processus qui a initié le changement

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=1511} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
Astuce pro : Recherchez des motifs dans les changements d'heure - des intervalles réguliers pourraient indiquer une synchronisation programmée, tandis que des changements aléatoires pourraient suggérer une intervention manuelle ou des problèmes.
02

Analyser la configuration du service de temps Windows

Enquêter sur la configuration du service de temps Windows pour déterminer si la synchronisation automatique de l'heure provoque les événements.

  1. Ouvrir Invite de commandes en tant qu'administrateur
  2. Vérifier l'état actuel du service de temps :
w32tm /query /status
  1. Examiner la configuration du service de temps :
w32tm /query /configuration
  1. Vérifier la source de temps et les pairs de synchronisation :
w32tm /query /peers
  1. Examiner les paramètres du registre du service de temps :
Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters"
  1. Pour les machines jointes au domaine, vérifier la hiérarchie du domaine :
w32tm /query /source
Avertissement : Modifier les paramètres du service de temps sur les contrôleurs de domaine peut affecter toute la hiérarchie de synchronisation de l'heure du domaine.
03

Surveiller les événements de synchronisation temporelle avec PowerShell

Créer une solution de surveillance complète pour suivre les changements de temps et identifier les modèles ou anomalies.

  1. Créer un script PowerShell pour surveiller les événements de changement de temps :
# Surveiller l'ID d'événement 1511 pour les changements de temps
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=1511; StartTime=(Get-Date).AddDays(-7)}

foreach ($Event in $Events) {
    $EventXML = [xml]$Event.ToXml()
    $OldTime = $EventXML.Event.EventData.Data[0].'#text'
    $NewTime = $EventXML.Event.EventData.Data[1].'#text'
    
    Write-Host "Changement de temps détecté :"
    Write-Host "  Date : $($Event.TimeCreated)"
    Write-Host "  Ancien temps : $OldTime"
    Write-Host "  Nouveau temps : $NewTime"
    Write-Host "  Processus : $($Event.ProcessId)"
    Write-Host "---"
}
  1. Vérifier les événements liés au service de temps :
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Time-Service'} -MaxEvents 50
  1. Surveiller les ajustements de temps importants qui pourraient indiquer des problèmes :
# Alerter sur les changements de temps supérieurs à 1 minute
$LargeTimeChanges = Get-WinEvent -FilterHashtable @{LogName='System'; Id=1511; StartTime=(Get-Date).AddHours(-24)} | Where-Object {
    $EventXML = [xml]$_.ToXml()
    $TimeDiff = [Math]::Abs(([DateTime]$EventXML.Event.EventData.Data[1].'#text') - ([DateTime]$EventXML.Event.EventData.Data[0].'#text')).TotalSeconds
    $TimeDiff -gt 60
}

if ($LargeTimeChanges) {
    Write-Warning "Grands changements de temps détectés au cours des dernières 24 heures"
    $LargeTimeChanges | Format-Table TimeCreated, Id, Message
}
04

Enquêter sur les problèmes matériels et d'environnement virtuel

Examinez la stabilité de l'horloge matérielle et les paramètres de synchronisation de l'heure des machines virtuelles qui pourraient entraîner des ajustements fréquents de l'heure.

  1. Vérifiez la précision de l'horloge matérielle du système :
w32tm /stripchart /computer:time.windows.com /samples:5
  1. Pour les machines virtuelles, vérifiez les paramètres de synchronisation de l'heure de l'hyperviseur :
# Vérifiez si vous êtes dans une VM
$ComputerSystem = Get-WmiObject -Class Win32_ComputerSystem
if ($ComputerSystem.Model -match "Virtual|VMware|Hyper-V|VirtualBox") {
    Write-Host "Machine virtuelle détectée : $($ComputerSystem.Model)"
    
    # Vérifiez les services d'intégration VM
    Get-Service | Where-Object {$_.Name -match "vmtools|hypervvssd|vboxservice"}
}
  1. Examinez les journaux d'événements système pour les problèmes de temps liés au matériel :
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Kernel-General'} -MaxEvents 100 | Where-Object {$_.Message -match "time|clock"}
  1. Vérifiez les paramètres de l'heure du BIOS/UEFI et l'état de la batterie :
# Vérifiez l'heure du firmware système
$BiosTime = Get-WmiObject -Class Win32_BIOS | Select-Object ReleaseDate
$SystemTime = Get-Date
Write-Host "Heure système actuelle : $SystemTime"
Write-Host "Date de sortie du BIOS : $($BiosTime.ReleaseDate)"

# Vérifiez les problèmes de batterie CMOS dans le journal système
Get-WinEvent -FilterHashtable @{LogName='System'} -MaxEvents 1000 | Where-Object {$_.Message -match "CMOS|battery|clock"}
  1. Pour les invités Hyper-V, désactivez la synchronisation de l'heure si cela cause des problèmes :
# Désactivez la synchronisation de l'heure Hyper-V (exécuter dans la VM)
Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider" -Name "Enabled" -Value 0
Astuce pro : Dans les environnements virtualisés, coordonnez la synchronisation de l'heure entre l'hyperviseur et le système d'exploitation invité pour éviter les conflits.
05

Mettre en œuvre la surveillance de la sécurité et le suivi de la conformité

Configurez une surveillance complète des changements d'heure pour répondre aux exigences de sécurité et de conformité.

  1. Créez une tâche planifiée pour enregistrer les changements d'heure dans un fichier séparé :
# Créer un script de surveillance
$ScriptContent = @'
$Events = Get-WinEvent -FilterHashtable @{LogName="System"; Id=1511; StartTime=(Get-Date).AddMinutes(-5)}
foreach ($Event in $Events) {
    $EventXML = [xml]$Event.ToXml()
    $LogEntry = "$(Get-Date -Format 'yyyy-MM-dd HH:mm:ss') - Changement d'heure : Ancien=$($EventXML.Event.EventData.Data[0].'#text') Nouveau=$($EventXML.Event.EventData.Data[1].'#text') Processus=$($Event.ProcessId)"
    Add-Content -Path "C:\Logs\TimeChanges.log" -Value $LogEntry
}
'@

# Enregistrer le script
New-Item -Path "C:\Scripts" -ItemType Directory -Force
$ScriptContent | Out-File -FilePath "C:\Scripts\MonitorTimeChanges.ps1" -Encoding UTF8
  1. Créez une tâche planifiée pour exécuter le script de surveillance :
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-ExecutionPolicy Bypass -File C:\Scripts\MonitorTimeChanges.ps1"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries

Register-ScheduledTask -TaskName "MonitorTimeChanges" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"
  1. Configurez le transfert d'événements Windows pour une surveillance centralisée :
wecutil qc /q
winrm quickconfig
  1. Configurez la stratégie d'audit pour les changements d'heure :
auditpol /set /subcategory:"System Integrity" /success:enable /failure:enable
  1. Créez une fonction PowerShell pour le rapport de conformité :
function Get-TimeChangeReport {
    param(
        [DateTime]$StartDate = (Get-Date).AddDays(-30),
        [DateTime]$EndDate = (Get-Date)
    )
    
    $Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=1511; StartTime=$StartDate; EndTime=$EndDate}
    
    $Report = $Events | ForEach-Object {
        $EventXML = [xml]$_.ToXml()
        [PSCustomObject]@{
            TimeCreated = $_.TimeCreated
            OldTime = $EventXML.Event.EventData.Data[0].'#text'
            NewTime = $EventXML.Event.EventData.Data[1].'#text'
            ProcessId = $_.ProcessId
            MachineName = $_.MachineName
        }
    }
    
    return $Report | Sort-Object TimeCreated
}

# Générer le rapport
Get-TimeChangeReport | Export-Csv -Path "C:\Reports\TimeChangeReport.csv" -NoTypeInformation
Avertissement : Assurez-vous que les fichiers journaux sont protégés et régulièrement tournés pour éviter les problèmes d'espace disque et maintenir l'intégrité de la piste d'audit.

Aperçu

L'ID d'événement 1511 de la source Kernel-General indique que Windows a détecté un changement de l'heure système. Cet événement se déclenche chaque fois que l'horloge système est ajustée de plus de quelques secondes, que ce soit par intervention manuelle, synchronisation automatique de l'heure via NTP, ou correction de dérive de l'horloge matérielle. L'événement capture à la fois les anciennes et nouvelles valeurs de temps, ce qui est essentiel pour l'audit de sécurité et le suivi de conformité.

Cet événement apparaît dans le journal Système et fournit des informations détaillées sur ce qui a déclenché le changement d'heure, y compris le processus responsable et l'ampleur de l'ajustement. Dans les environnements d'entreprise, des changements d'heure inattendus peuvent indiquer des problèmes de sécurité, des problèmes matériels ou des services de temps mal configurés. L'événement est particulièrement important pour les contrôleurs de domaine, où une synchronisation précise de l'heure est cruciale pour l'authentification Kerberos.

Windows génère cet événement via le sous-système de gestion du temps du noyau, qui surveille en continu l'horloge système pour détecter des changements significatifs. Le seuil pour déclencher cet événement est généralement d'environ 3 à 5 secondes, bien que cela puisse varier en fonction de la configuration du système et de la source du changement d'heure.

Questions Fréquentes

Que signifie l'ID d'événement 1511 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 1511 indique que Windows a détecté un changement de l'heure système. Cela est normal pour la synchronisation automatique de l'heure, mais préoccupant si cela se produit fréquemment sans explication. Soyez vigilant si vous constatez de grands sauts de temps (plus de quelques minutes), des changements d'heure en dehors des fenêtres de synchronisation prévues, ou des changements qui coïncident avec des événements de sécurité. Dans les environnements d'entreprise, des changements d'heure inattendus peuvent indiquer des problèmes matériels, une activité malveillante ou des services de temps mal configurés qui pourraient affecter l'authentification Kerberos et l'intégrité des journaux d'audit.
Comment puis-je distinguer les changements d'heure légitimes et suspects dans l'ID d'événement 1511 ?+
Les changements d'heure légitimes montrent généralement de petits ajustements (secondes à minutes) provenant de w32tm.exe ou du service de temps Windows, se produisent à intervalles réguliers et s'alignent sur votre calendrier de synchronisation configuré. Les changements suspects incluent de grands sauts de temps (heures ou jours), des changements initiés par des processus inattendus, des ajustements fréquents en dehors des fenêtres de synchronisation normales, ou des changements qui coïncident avec d'autres événements de sécurité. Vérifiez les détails de l'événement pour l'ID de processus et comparez avec les services de synchronisation de temps connus. Les changements manuels via le panneau de contrôle Date/Heure afficheront des informations de processus différentes de celles de la synchronisation automatique.
Pourquoi l'ID d'événement 1511 apparaît-il fréquemment sur mes machines virtuelles ?+
Les machines virtuelles subissent souvent des changements de temps fréquents en raison de conflits entre la synchronisation temporelle de l'hyperviseur et les services de temps du système d'exploitation invité. Lorsque les VM sont mises en pause, migrées ou subissent une dérive de l'horloge de l'hôte, des ajustements temporels significatifs peuvent être nécessaires lors de la reprise. Les Hyper-V Integration Services, VMware Tools et VirtualBox Guest Additions fournissent tous une synchronisation temporelle qui peut déclencher l'ID d'événement 1511. Pour réduire la fréquence, configurez soit l'hyperviseur, soit le système d'exploitation invité pour gérer exclusivement la synchronisation temporelle, mais pas les deux. Pour les VM jointes à un domaine, désactivez généralement la synchronisation temporelle de l'hyperviseur et fiez-vous au service Windows Time pour la synchronisation de domaine.
L'ID d'événement 1511 peut-il affecter l'authentification Active Directory et comment puis-je prévenir les problèmes ?+
Oui, des changements de temps significatifs peuvent gravement affecter l'authentification Active Directory car Kerberos nécessite une synchronisation temporelle dans les 5 minutes (par défaut) entre les clients et les contrôleurs de domaine. L'ID d'événement 1511 montrant de grands ajustements temporels peut indiquer des problèmes de synchronisation pouvant entraîner des échecs d'authentification. Évitez les problèmes en assurant une configuration correcte de la hiérarchie temporelle avec le PDC Emulator comme source de temps autoritaire, en configurant des sources NTP externes fiables pour le PDC, en surveillant la dérive temporelle à travers les contrôleurs de domaine, et en définissant des valeurs appropriées pour MaxPosPhaseCorrection et MaxNegPhaseCorrection dans les paramètres de registre W32Time pour contrôler les limites d'ajustement automatique.
Comment configurer la surveillance et les alertes pour les changements de temps anormaux dans l'ID d'événement 1511 ?+
Implémentez la surveillance en créant des scripts PowerShell qui interrogent l'ID d'événement 1511 et filtrent les modèles anormaux tels que les changements de temps dépassant des seuils spécifiques, plusieurs changements en de courtes périodes, ou des changements provenant de processus inattendus. Utilisez le transfert d'événements Windows pour centraliser les événements de changement de temps de plusieurs systèmes, configurez des outils SIEM pour corréler les changements de temps avec d'autres événements de sécurité, et configurez des tâches planifiées ou des agents de surveillance pour alerter sur les modèles suspects. Envisagez de mettre en œuvre des abonnements aux journaux d'événements personnalisés qui déclenchent des notifications immédiates pour les changements de temps dépassant vos limites acceptables définies, généralement de 1 à 5 minutes selon les exigences de votre environnement.
Documentation

Références (2)

1
Microsoft Learn - Windows Time Service Technical ReferenceComprehensive documentation on Windows Time service configuration, troubleshooting, and best practices for enterprise environments.https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tech-ref
2
Microsoft Docs - Event Logging in WindowsTechnical reference for Windows event logging system, including kernel-generated events and event data interpretation.https://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#system-monitoring#time-synchronization#event-id-1511

Événements Windows associés

Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 8301
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 8301 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 8301 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 8231
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 8231 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 8231 se déclenche lorsque Windows détecte un changement de l'heure système, généralement lors de la synchronisation de l'heure, des ajustements manuels ou des corrections de dérive de l'horloge matérielle.

18 mars9 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 8197
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 8197 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 8197 se déclenche lorsque Windows détecte un changement significatif de l'heure système, soit par ajustement manuel, soit par synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 4113
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 4113 – Microsoft-Windows-Kernel-General : Heure du système modifiée

L'ID d'événement 4113 se déclenche lorsque l'heure système de Windows est modifiée, soit manuellement par un utilisateur, soit automatiquement par des services de synchronisation de l'heure. Critique pour l'audit de sécurité et le suivi de la conformité.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...