ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event ID 8197InformationMicrosoft-Windows-Kernel-GeneralWindows

ID d'événement Windows 8197 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 8197 se déclenche lorsque Windows détecte un changement significatif de l'heure système, soit par ajustement manuel, soit par synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 8197Microsoft-Windows-Kernel-General 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 8197 représente la détection au niveau du noyau Windows des modifications de l'heure système qui dépassent les seuils prédéfinis. Le noyau Windows surveille en permanence la cohérence de l'heure système et génère cet événement lorsqu'il détecte des sauts de temps significatifs, qu'ils soient en avant ou en arrière.

L'événement capture des détails complets, y compris les horodatages exacts des anciennes et nouvelles heures système, l'identifiant du processus responsable du changement, et un contexte supplémentaire sur l'ajustement de l'heure. Ces informations s'avèrent inestimables pour l'audit de sécurité, car des changements d'heure non autorisés peuvent indiquer une activité malveillante ou des tentatives de compromission du système.

Dans les environnements d'entreprise, cet événement aide les administrateurs à suivre la conformité avec les politiques de synchronisation de l'heure et à identifier les systèmes rencontrant des problèmes de dérive temporelle. L'événement aide également à résoudre les échecs d'authentification Kerberos, qui sont très sensibles aux décalages temporels entre les contrôleurs de domaine et les systèmes clients.

Les systèmes Windows modernes en 2026 ont des capacités améliorées de détection des changements d'heure, fournissant des informations plus granulaires sur la source et la nature des modifications de l'heure. Cela inclut une meilleure intégration avec Windows Defender ATP et une corrélation améliorée avec d'autres événements de sécurité pour une détection complète des menaces.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Ajustement manuel de l'heure système via les paramètres de Date et Heure ou les outils en ligne de commande
  • Synchronisation automatique de l'heure via le service de temps Windows (W32Time) avec des serveurs NTP
  • Synchronisation de l'heure du contrôleur de domaine dans les environnements Active Directory
  • Ajustements de l'horloge matérielle lors du démarrage du système ou de la reprise après hibernation
  • Logiciel de synchronisation de l'heure tiers effectuant des modifications de l'heure système
  • Logiciel malveillant tentant de manipuler l'heure système à des fins d'évasion
  • Synchronisation de l'heure de la machine virtuelle avec les systèmes hôtes de l'hyperviseur
  • Opérations de récupération du système restaurant les paramètres de temps précédents
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 8197 pour comprendre la nature du changement d'heure :

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez pour l'ID d'événement 8197 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
  4. Entrez 8197 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 8197 pour voir des informations détaillées
  6. Notez les valeurs Ancien temps, Nouveau temps, et ID de processus dans la description de l'événement
  7. Vérifiez l'onglet Général pour les informations de l'horodatage et l'onglet Détails pour les données XML

Utilisez PowerShell pour une analyse plus détaillée :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=8197} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
02

Analyser les modèles de changement de temps avec PowerShell

Utilisez PowerShell pour identifier les motifs dans les changements de temps et les corréler avec d'autres événements système :

  1. Extraire des informations détaillées sur les changements de temps :
$TimeChangeEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=8197} -MaxEvents 50
$TimeChangeEvents | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        OldTime = $EventXML.Event.EventData.Data[0].'#text'
        NewTime = $EventXML.Event.EventData.Data[1].'#text'
        ProcessId = $EventXML.Event.EventData.Data[2].'#text'
    }
} | Format-Table -AutoSize
  1. Vérifiez la corrélation avec les événements du service de temps Windows :
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Time-Service'} -MaxEvents 10
  1. Identifiez le processus responsable des changements de temps :
$ProcessId = 1234  # Remplacez par l'ID de processus réel de l'événement
Get-Process -Id $ProcessId -ErrorAction SilentlyContinue
03

Examiner la configuration du service de temps Windows

Examinez les paramètres du service de temps Windows pour comprendre le comportement de la synchronisation automatique de l'heure :

  1. Vérifiez la configuration actuelle du service de temps :
w32tm /query /configuration
w32tm /query /status
  1. Examinez les paramètres du registre du service de temps :
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config"
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Parameters"
  1. Vérifiez la configuration du serveur NTP :
w32tm /query /peers
w32tm /query /source
  1. Examinez les journaux d'événements du service de temps :
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Time-Service'} | Select-Object TimeCreated, Id, LevelDisplayName, Message
  1. Testez la synchronisation de l'heure manuellement :
w32tm /resync /rediscover
Astuce pro : Utilisez w32tm /stripchart /computer:time.windows.com pour surveiller la précision de l'heure par rapport à un serveur de référence.
04

Configurer l'audit et la surveillance des changements d'heure

Implémentez une surveillance complète des changements de temps pour améliorer l'audit de sécurité :

  1. Activez les politiques d'audit avancées pour les changements de temps :
auditpol /set /subcategory:"System Integrity" /success:enable /failure:enable
  1. Créez une vue personnalisée dans le Visualiseur d'événements pour les événements liés au temps :

Dans le Visualiseur d'événements, cliquez avec le bouton droit sur Vues personnaliséesCréer une vue personnalisée :

  • Définissez le Niveau d'événement sur Information, Avertissement, Erreur
  • Définissez les ID d'événement sur : 8197, 1, 35, 37, 129, 131
  • Définissez les Sources d'événement sur : Microsoft-Windows-Kernel-General, Microsoft-Windows-Time-Service
  1. Configurez le script de surveillance PowerShell :
Register-WmiEvent -Query "SELECT * FROM Win32_VolumeChangeEvent" -Action {
    $Event = Get-WinEvent -FilterHashtable @{LogName='System'; Id=8197} -MaxEvents 1
    if ($Event) {
        Write-Host "Changement de temps détecté à $($Event.TimeCreated)"
        # Ajoutez ici la logique de notification
    }
}
  1. Configurez la stratégie de groupe pour la synchronisation du temps (environnements de domaine) :

Accédez à Configuration de l'ordinateur\Modèles d'administration\Système\Service de temps Windows\Fournisseurs de temps et configurez :

  • Configurer le client NTP Windows : Activé
  • Activer le client NTP Windows : Activé
  • Activer le serveur NTP Windows : Selon les besoins
05

Analyse de sécurité avancée et détection des menaces

Effectuer une analyse de sécurité complète pour identifier une manipulation temporelle malveillante potentielle :

  1. Corréler les changements de temps avec les événements de sécurité :
$StartTime = (Get-Date).AddHours(-24)
$SecurityEvents = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    StartTime=$StartTime
    Id=4624,4625,4648,4672
}
$TimeEvents = Get-WinEvent -FilterHashtable @{
    LogName='System'
    StartTime=$StartTime
    Id=8197
}

# Comparer les horodatages pour des motifs suspects
$TimeEvents | ForEach-Object {
    $TimeChange = $_.TimeCreated
    $NearbySecEvents = $SecurityEvents | Where-Object {
        [Math]::Abs(($_.TimeCreated - $TimeChange).TotalMinutes) -lt 5
    }
    if ($NearbySecEvents) {
        Write-Host "Corrélation potentielle trouvée à $TimeChange"
        $NearbySecEvents | Format-Table TimeCreated, Id, Message
    }
}
  1. Vérifier les outils de manipulation temporelle non autorisés :
Get-Process | Where-Object {$_.ProcessName -match "time|clock|sync"} | Select-Object Name, Id, StartTime, Path
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Sysmon/Operational'; Id=1} | Where-Object {$_.Message -match "time|clock"}
  1. Analyser l'exécution des processus autour des changements de temps :
$TimeChangeEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=8197} -MaxEvents 10
foreach ($Event in $TimeChangeEvents) {
    $EventTime = $Event.TimeCreated
    $ProcessEvents = Get-WinEvent -FilterHashtable @{
        LogName='Security'
        Id=4688
        StartTime=$EventTime.AddMinutes(-2)
        EndTime=$EventTime.AddMinutes(2)
    } -ErrorAction SilentlyContinue
    
    if ($ProcessEvents) {
        Write-Host "Activité de processus autour du changement de temps à $EventTime :"
        $ProcessEvents | Select-Object TimeCreated, @{n='ProcessName';e={($_.Message -split '\n' | Select-String 'New Process Name').ToString().Split(':')[1].Trim()}}
    }
}
Avertissement : Des changements de temps fréquents et inattendus peuvent indiquer une compromission du système ou des problèmes matériels nécessitant une enquête immédiate.

Aperçu

L'ID d'événement 8197 de Microsoft-Windows-Kernel-General se connecte chaque fois que Windows détecte un changement de l'heure système qui dépasse le seuil configuré. Cet événement capture à la fois les ajustements manuels de l'heure et les événements de synchronisation automatique de l'heure du service de temps Windows (W32Time). L'événement enregistre l'ancienne heure, la nouvelle heure et le processus responsable du changement.

Cet événement sert de piste d'audit critique pour la conformité en matière de sécurité, en particulier dans les environnements où une mesure précise du temps est essentielle pour la corrélation des journaux, l'authentification Kerberos et les exigences réglementaires. L'événement se déclenche indépendamment du fait que le changement d'heure ait été initié par un administrateur, une synchronisation NTP automatique ou des processus système.

Vous trouverez cet événement dans le journal Système sous Observateur d'événementsJournaux WindowsSystème. L'événement fournit des informations détaillées, y compris l'heure système précédente, la nouvelle heure système et l'ID du processus qui a initié le changement. Comprendre cet événement est crucial pour maintenir la sécurité du système et résoudre les problèmes d'authentification liés au temps.

Questions Fréquentes

Que signifie l'ID d'événement 8197 et pourquoi est-il important ?+
L'ID d'événement 8197 indique que Windows a détecté un changement de l'heure système dépassant les seuils configurés. Cet événement est crucial pour l'audit de sécurité car des changements d'heure non autorisés peuvent indiquer une activité malveillante, une compromission du système ou des tentatives d'évasion des contrôles de sécurité. Il aide également à résoudre les problèmes de synchronisation de l'heure qui peuvent affecter l'authentification Kerberos, la corrélation des journaux et les exigences de conformité. L'événement fournit des informations détaillées sur l'ancienne heure, la nouvelle heure et le processus responsable du changement.
Comment puis-je distinguer entre les changements d'heure légitimes et suspects dans l'ID d'événement 8197 ?+
Les changements d'heure légitimes proviennent généralement du service de temps Windows (w32tm.exe), des processus système lors du démarrage/reprise, ou de la synchronisation NTP programmée. Les changements suspects peuvent provenir de processus inattendus, se produire à des moments inhabituels, impliquer de grands sauts de temps, ou être corrélés avec d'autres événements de sécurité comme des échecs de connexion ou des tentatives d'escalade de privilèges. Vérifiez l'ID de processus dans les détails de l'événement et corrélez avec les journaux d'exécution des processus (ID d'événement de sécurité 4688) pour identifier la source. Les petits ajustements réguliers sont normaux, tandis que les changements soudains et importants nécessitent une enquête.
L'ID d'événement 8197 peut-il aider à résoudre les problèmes d'authentification Kerberos ?+
Oui, l'ID d'événement 8197 est précieux pour diagnostiquer les problèmes Kerberos car Kerberos est extrêmement sensible au décalage horaire. Si les clients et les contrôleurs de domaine ont des différences de temps dépassant 5 minutes (par défaut), l'authentification échoue. En examinant l'ID d'événement 8197 avec les événements d'erreur Kerberos (comme l'ID d'événement 4), vous pouvez identifier quand les problèmes de synchronisation temporelle se sont produits et les corréler avec les échecs d'authentification. Cela aide à déterminer si la dérive temporelle cause des problèmes de connexion intermittents ou des problèmes d'authentification de compte de service.
Comment configurer Windows pour réduire les entrées d'ID d'événement 8197 inutiles ?+
Vous pouvez ajuster les paramètres de synchronisation de l'heure pour minimiser les petits ajustements fréquents qui génèrent l'ID d'événement 8197. Configurez le service W32Time avec des intervalles de sondage appropriés en utilisant 'w32tm /config /manualpeerlist:"server1,server2" /syncfromflags:manual /reliable:yes /update'. Définissez des seuils de correction de l'heure raisonnables dans le registre à HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config. Pour les machines virtuelles, assurez une synchronisation correcte de l'heure avec l'hyperviseur. Cependant, ne désactivez pas complètement la journalisation des changements d'heure car elle est importante pour l'audit de sécurité.
Que dois-je faire si je vois fréquemment des entrées d'ID d'événement 8197 sur mon système ?+
Des entrées fréquentes de l'ID d'événement 8197 peuvent indiquer une dérive de l'horloge matérielle, des problèmes de connectivité réseau avec les serveurs NTP ou des problèmes système. Tout d'abord, vérifiez si l'horloge matérielle de votre système fonctionne correctement en utilisant 'w32tm /query /status' et 'w32tm /stripchart /computer:time.windows.com'. Vérifiez la connectivité et les temps de réponse du serveur NTP. Pour les ordinateurs joints à un domaine, assurez-vous de la hiérarchie temporelle correcte avec les contrôleurs de domaine. Envisagez de vérifier les problèmes matériels tels qu'une batterie CMOS défaillante, une surchauffe ou des problèmes d'alimentation. Si le système est virtualisé, examinez les paramètres de synchronisation temporelle entre l'invité et l'hôte.
Documentation

Références (2)

1
Microsoft Learn - Windows Time ServiceComprehensive documentation on Windows Time Service configuration, troubleshooting, and best practices for enterprise environments.https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-top
2
Microsoft Docs - Event Logging ReferenceTechnical reference for Windows Event Logging system including kernel-level events and system time change detection mechanisms.https://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging-reference
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#system-monitoring#windows-time-service#event-id-8197

Événements Windows associés

Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 16388
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16388 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 16388 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 16384
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16384 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 16384 se déclenche lorsque Windows détecte un changement de l'heure système, soit manuel, soit automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure dans les environnements de domaine.

18 mars9 min
Windows Event Viewer displaying system time change events on a monitoring dashboard
Event 11728
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11728 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11728 se déclenche lorsque Windows détecte un changement de l'heure système, généralement à partir de services de synchronisation de l'heure, d'ajustements manuels ou de corrections de dérive de l'horloge matérielle.

18 mars12 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 11724
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11724 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11724 indique que le noyau Windows a détecté un changement de l'heure système, généralement déclenché par des services de synchronisation de l'heure, des ajustements manuels ou des corrections de dérive de l'horloge matérielle.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...