ID d'événement Windows 8231 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

Commencez par examiner les détails spécifiques de l'ID d'événement 8231 pour comprendre ce qui a déclenché le changement d'heure.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez pour l'ID d'événement 8231 en cliquant avec le bouton droit sur Système → Filtrer le journal actuel → Entrez 8231 dans le champ ID d'événements
4. Double-cliquez sur les entrées récentes de l'ID d'événement 8231 pour voir les détails
5. Vérifiez l'onglet Général pour les informations de changement d'heure et le processus responsable
6. Notez les valeurs Ancienne heure et Nouvelle heure dans la description de l'événement
7. Examinez l'onglet Détails pour des données XML supplémentaires incluant le processus initiateur

Utilisez PowerShell pour une analyse en masse :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=8231} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

Vérifiez les paramètres du service de temps Windows pour assurer un comportement correct de synchronisation de l'heure.

1. Ouvrez Invite de commandes en tant qu'administrateur
2. Vérifiez l'état actuel du service de temps :

w32tm /query /status

3. Examinez la configuration de la source de temps :

w32tm /query /source

4. Examinez la configuration détaillée du service de temps :

w32tm /query /configuration

5. Pour les systèmes joints à un domaine, vérifiez la hiérarchie du domaine :

w32tm /query /peers

6. Vérifiez les journaux de synchronisation de l'heure :

Get-WinEvent -LogName 'Microsoft-Windows-Time-Service/Operational' -MaxEvents 20

Enquêter sur les modèles dans les événements de changement d'heure pour identifier les problèmes sous-jacents ou les préoccupations de sécurité.

1. Générer un rapport complet des événements de changement d'heure :

$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=8231; StartTime=(Get-Date).AddDays(-30)}
$Events | ForEach-Object {
    $XML = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        OldTime = $XML.Event.EventData.Data[0].'#text'
        NewTime = $XML.Event.EventData.Data[1].'#text'
        ProcessId = $XML.Event.System.Execution.ProcessID
        ThreadId = $XML.Event.System.Execution.ThreadID
    }
} | Export-Csv -Path "C:\Temp\TimeChanges.csv" -NoTypeInformation

2. Vérifier une fréquence excessive indiquant des problèmes matériels :

$DailyCount = Get-WinEvent -FilterHashtable @{LogName='System'; Id=8231; StartTime=(Get-Date).AddDays(-7)} | Group-Object {$_.TimeCreated.Date} | Select-Object Name, Count
$DailyCount | Where-Object {$_.Count -gt 10}

3. Identifier les changements d'heure inhabituels en dehors des heures de bureau :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=8231; StartTime=(Get-Date).AddDays(-7)} | Where-Object {$_.TimeCreated.Hour -lt 6 -or $_.TimeCreated.Hour -gt 22}

4. Recouper avec les journaux de sécurité pour une corrélation potentielle :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625; StartTime=(Get-Date).AddHours(-1)} | Select-Object TimeCreated, Id, Message

Implémentez une surveillance complète des événements de changement d'heure pour améliorer la sécurité et les capacités de dépannage.

1. Activez la journalisation détaillée du service de temps :

reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config" /v EventLogFlags /t REG_DWORD /d 3 /f

2. Configurez la stratégie de groupe pour l'audit des changements d'heure (sur les contrôleurs de domaine) :
3. Ouvrez Gestion des stratégies de groupe → Modifier la stratégie de domaine par défaut
4. Accédez à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit
5. Activez Audit des changements de l'heure système sous Politiques d'audit système

6. Créez une tâche planifiée pour surveiller les changements d'heure excessifs :

$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command Get-WinEvent -FilterHashtable @{LogName='System'; Id=8231; StartTime=(Get-Date).AddHours(-1)} | Measure-Object | Where-Object {$_.Count -gt 5} | ForEach-Object {Send-MailMessage -To 'admin@company.com' -From 'monitoring@company.com' -Subject 'Excessive Time Changes Detected' -Body 'Multiple time change events detected in the last hour' -SmtpServer 'mail.company.com'}"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Hours 1)
Register-ScheduledTask -TaskName "TimeChangeMonitor" -Action $Action -Trigger $Trigger -RunLevel Highest

7. Configurez le transfert des événements Windows pour une surveillance centralisée :

wecutil cs subscription.xml

Résolvez les problèmes matériels sous-jacents ou de virtualisation causant des changements fréquents de l'heure.

1. Vérifiez l'état de la batterie CMOS et la précision de l'horloge matérielle :

w32tm /stripchart /computer:pool.ntp.org /samples:5 /dataonly

2. Pour les machines virtuelles, vérifiez les paramètres de synchronisation de l'heure :
3. VMware : Vérifiez la synchronisation de l'heure des VMware Tools dans les paramètres de la VM
4. Hyper-V : Vérifiez le composant de synchronisation de l'heure des Services d'Intégration
5. VirtualBox : Configurez la synchronisation de l'heure dans les Additions Invité

6. Désactivez la synchronisation de l'heure de la VM si vous utilisez NTP :

reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider" /v Enabled /t REG_DWORD /d 0 /f

7. Configurez une heure de haute précision pour les systèmes critiques :

reg add "HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation" /v RealTimeIsUniversal /t REG_DWORD /d 1 /f

8. Testez la stabilité de l'horloge matérielle :

$StartTime = Get-Date
Start-Sleep -Seconds 3600  # Attendre 1 heure
$EndTime = Get-Date
$Drift = ($EndTime - $StartTime).TotalSeconds - 3600
Write-Host "Dérive de l'horloge : $Drift secondes par heure"

9. Pour des problèmes persistants, envisagez des appareils NTP externes ou des sources de temps GPS pour l'infrastructure critique