Какой часовой пояс отображается в журналах событий Windows
У меня возникнут сомнения по поводу часового пояса, отображаемого в журналах событий Windows. Я читал, что если я экспортирую журналы событий Windows с другого компьютера и открою его на своем компьютере, который имеет другой часовой пояс, время событий будет преобразовано в мой часовой пояс. Сценарий заключается в том, что я отлаживаю проблему, которая возникла на виртуальной машине, установленной в часовом поясе JST.Я мог видеть событие в журналах Windows, зарегистрированное таким образом, когда я открывал файл на моем локальном компьютере, который находится в часовом поясе IST -
Процесс C: \ Program Files \ Altek \ Agent \ bin \ altekbin.exe ( VERY1) инициировал выключение компьютера VERY1 от имени пользователя NT AUTHORITY \ SYSTEM по следующей причине: Не удалось найти заголовок по этой причине Код причины: 0x3000c
Зарегистрировано: 23-01-2020 18:20:13
Поскольку на моей машине, которая находится в IST, время отображается как 18:20:13, я думаю, что фактическое время в JST когда это произошло, было в 21.50 JST. Я правильно понимаю? Это преобразование временной метки меня немного сбивает с толку, поэтому был бы признателен, если бы кто-нибудь мог развеять мои сомнения?
Windows хранит отметки времени для событий из журнала событий по времени UTC - независимо от текущего настроенного часового пояса компьютера. Однако при просмотре события метка времени преобразуется в местное время - в зависимости от настроек текущего часового пояса.
Таким образом, метка времени события всегда будет отображаться в текущем местном времени - независимо от того, какой часовой пояс было, когда оно было изначально зарегистрировано.
Пример: событие записывается в 21:30:00 по восточному времени США, и весь журнал впоследствии экспортируется в файл EVTX и отправляется кому-то в Калифорнии, что на 3 часа позже. Если пользователь в Калифорнии (который находится в тихоокеанском времени PST) просматривает то же самое событие, будет показано, что оно было зарегистрировано в 18:30:00 по местному времени. Это потому, что в Калифорнии событие было зарегистрировано в 18:30:00.
Надеюсь, это объясняет.