ID d'événement Windows 3086 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

Commencez par examiner les détails spécifiques de l'ID d'événement 3086 pour comprendre ce qui a déclenché le changement d'heure.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
4. Entrez 3086 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur les entrées récentes de l'ID d'événement 3086 pour voir les détails
6. Examinez l'onglet Général pour l'heure ancienne, la nouvelle heure et la différence de temps
7. Vérifiez l'onglet Détails pour des données XML supplémentaires sur la source de temps

Utilisez PowerShell pour interroger plusieurs événements de changement d'heure :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=3086} -MaxEvents 20 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

Vérifiez la configuration du service Windows Time pour assurer des paramètres de synchronisation NTP appropriés.

1. Ouvrez une invite de commande ou PowerShell avec élévation de privilèges
2. Vérifiez l'état actuel du service de temps :

w32tm /query /status

3. Examinez la configuration de la source de temps :

w32tm /query /source

4. Vérifiez les détails de la configuration du service de temps :

w32tm /query /configuration

5. Pour les ordinateurs joints au domaine, vérifiez la hiérarchie du domaine :

w32tm /query /peers

6. Testez la synchronisation du temps manuellement :

w32tm /resync /rediscover

7. Vérifiez les paramètres du registre du service Windows Time à :

HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

Activez la journalisation détaillée du service de temps pour identifier la cause principale des changements fréquents de temps.

1. Activez la journalisation de débogage W32Time en exécutant :

w32tm /debug /enable /file:C:\Windows\Temp\w32time.log /size:10000000 /entries:0-300

2. Surveillez le fichier journal pour les événements d'ajustement de temps :

Get-Content C:\Windows\Temp\w32time.log -Wait -Tail 20

3. Vérifiez le journal des événements système pour les événements W32Time associés :

Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Time-Service'} -MaxEvents 50

4. Examinez les journaux des applications et des services pour des informations détaillées sur le service de temps :
5. Accédez à Observateur d'événements → Journaux des applications et des services → Microsoft → Windows → Time-Service
6. Activez les journaux opérationnels et de débogage s'ils ne sont pas déjà actifs
7. Désactivez la journalisation de débogage une fois terminé :

w32tm /debug /disable

Vérifiez les problèmes de temps liés au matériel qui pourraient entraîner des ajustements fréquents de l'heure système.

1. Comparez l'heure système avec l'horloge matérielle :

w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly

2. Vérifiez le temps de fonctionnement du système pour corréler avec les événements de changement d'heure :

Get-CimInstance -ClassName Win32_OperatingSystem | Select-Object LastBootUpTime, LocalDateTime

3. Pour les machines virtuelles, vérifiez les paramètres de synchronisation de l'heure :

# VMware
Get-Service -Name VMTools
# Hyper-V
Get-VMIntegrationService -VMName $env:COMPUTERNAME -Name "Time Synchronization"

4. Vérifiez les paramètres de temps du BIOS/UEFI lors du prochain redémarrage
5. Vérifiez que l'horloge matérielle est réglée sur UTC (recommandé) ou sur l'heure locale de manière cohérente
6. Pour les serveurs physiques, envisagez de remplacer la batterie CMOS si la dérive temporelle est excessive
7. Examinez les paramètres de gestion de l'alimentation qui pourraient affecter l'horloge matérielle :

powercfg /query SCHEME_CURRENT SUB_SLEEP

Configurez une surveillance complète des événements liés au temps pour identifier et résoudre de manière proactive les problèmes.

1. Créez un script PowerShell pour surveiller et alerter sur les changements de temps excessifs :

# TimeChangeMonitor.ps1
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=3086; StartTime=(Get-Date).AddHours(-24)}
foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $OldTime = $XML.Event.EventData.Data[0].'#text'
    $NewTime = $XML.Event.EventData.Data[1].'#text'
    Write-Output "Time changed from $OldTime to $NewTime at $($Event.TimeCreated)"
}

2. Configurez une tâche planifiée pour exécuter le script de surveillance :

$Action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\TimeChangeMonitor.ps1'
$Trigger = New-ScheduledTaskTrigger -Daily -At 9AM
Register-ScheduledTask -TaskName "TimeChangeMonitor" -Action $Action -Trigger $Trigger

3. Configurez le transfert des événements Windows pour la collecte centralisée des événements liés au temps :
4. Sur le serveur collecteur, activez le service Windows Event Collector :

wecutil qc

5. Créez des vues de journal d'événements personnalisées pour les événements liés au temps :
6. Dans le Visualiseur d'événements, créez une Vue personnalisée avec un filtre XML :

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[EventID=3086 or EventID=1]]</Select>
  </Query>
</QueryList>