locked
Ora di eventi diversa da ora corrente ???? RRS feed

  • Domanda

  • Salve,

    Perchè l'ora che compare nella scheda "generale" di un evento qualsiasi e diversa di 3 ore rispetto a quella indicata nella scheda "dettagli" relativa allo stesso evento?

    domenica 25 luglio 2010 18:04

Risposte

  • Ciao,

    niente di cui scusarti , ci mancherebbe come ti dicevo TimeCreatd e l'ora in cui si verifica l'evento,

    e Registrato che visualizzi sulla scheda generale, corrisponte alla registrazione nel registro eventi.

    Tieni conto che comunque anche a pc spento esempio avviene la deframmentazione se pianificata

    del o dei dischi rigidi del computer e non solo.

    Ciao e mi scuso io se non dovesse esserti di aiuto a sufficienza o per niente questo post.

    • Contrassegnato come risposta alpha45 mercoledì 28 luglio 2010 17:53
    domenica 25 luglio 2010 19:51

Tutte le risposte

  • Una cosa è l'ora in cui si è verificato l'evento e un'altra è l'ora in cui viene inserito nel visualizzatore eventi.

    Ciao

     


    Franco Leuzzi - Microsoft ® MVP Windows Desktop Experience
    domenica 25 luglio 2010 18:15
    Moderatore
  • Ciao,

    credo che l'ora della scheda generale sia riferita' all'ora in cui si e manifestato l'evento.

    Ti lascio anche qualche link a riguardo

    http://windows.microsoft.com/it-IT/windows-vista/What-information-appears-in-event-logs-Event-Viewer

    http://www.megalab.it/2651/

    Ciao.

     

    domenica 25 luglio 2010 18:17
  • Ma non è strano che tutti gli avvisi e gli errori sono segnalati con 3 ore esatte di differenza.

    Ad esempio ho trovato un accesso alle 10;00;35 e lo stesso evento in dettagli alle 8;00;35 (a quest'ora il pc non era neanche acceso)?????

    domenica 25 luglio 2010 18:27
  • Ci deve essere per forza una correlazione.

    Ciao

     


    Franco Leuzzi - Microsoft ® MVP Windows Desktop Experience
    domenica 25 luglio 2010 18:37
    Moderatore
  • e quale è questa correlazione???

    Nell' esempio sotto indicato è indicato l'avvio del pc e come vedi i due orari non corrispondono.

    Mi è venuto questo dubbio perchè molti errori registrati chiamano in causa una  incompatibilità di timeout ........ 

    Nome registro: Security.
    Origine:    Microsoft-Windows-Security-Auditing
    Data:     25/07/2010 10:00:35
    ID evento:   4608
    Categoria attività:Modifica stato sicurezza
    Livello:    Informazioni
    Parole chiave: Controllo riuscito
    Utente:    N/D
    Computer:   Desktop
    Descrizione:
    Avvio di Windows in corso.
    
    Evento registrato quando LSASS.EXE viene avviato e il sottosistema di controllo viene inizializzato.
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
     <System>
      <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
      <EventID>4608</EventID>
      <Version>0</Version>
      <Level>0</Level>
      <Task>12288</Task>
      <Opcode>0</Opcode>
      <Keywords>0x8020000000000000</Keywords>
      <TimeCreated SystemTime="2010-07-25T08:00:35.296875000Z" />
      <EventRecordID>17517</EventRecordID>
      <Correlation />
      <Execution ProcessID="568" ThreadID="572" />
      <Channel>Security</Channel>
      <Computer>Desktop</Computer>
      <Security />
     </System>
     <EventData>
     </EventData>
    </Event>
    domenica 25 luglio 2010 18:50
  • Ciao,

    credo di aver capito che in dettagli l'ora e riferita quando e stato creato l'evento,

    mentra in generale l'ora e riferita quando l'evento e stato registrato.

    Ti lascio questi appunti relativi alla proprieta' di un'evento.

    Nella tabella seguente sono elencante le proprietà evento più comuni. Per ulteriori informazioni sulle proprietà evento e sullo schema XML sottostante, vedere l'argomento onlinerelativo alla rappresentazione per il consumo di eventi del Software Development Kit (SDK) del Registro eventi di Windows.
    
    
    Nome proprietà Descrizione 
    Origine
     Il software che ha registrato l'evento. Può essere un nome di programma, ad esempio SQL Server, oppure un componente del sistema o di un programma di grandi dimensioni, ad esempio un nome di driver. "Elnkii" indica ad esempio un driver EtherLink II.
     
    Event ID
     Un numero che identifica il particolare tipo di evento. La prima riga della descrizione in genere include il nome del tipo di evento. Ad esempio, 6005 è l'ID dell'evento che si verifica quando viene avviato il servizio Registro eventi. La prima riga della descrizione di un evento di questo tipo è "Il servizio Registro eventi è stato avviato". L'ID evento e l'origine possono essere utilizzati dai rappresentanti del supporto tecnico per risolvere problemi relativi al sistema.
     
    Livello
     Una classificazione della gravità dell'evento. Nel sistema e nei registri applicazioni possono verificarsi i seguenti livelli di gravità degli eventi: 
    
    Informazioni Indica una modifica in un'applicazione o in un componente, ad esempio il corretto completamento di un'operazione, la creazione di una risorsa o l'avvio di un servizio.
    
    
    Avviso Indica un problema che può influire sul servizio o causare un problema più grave se non si intraprende alcuna azione.
    
    
    Errore Indica un problema che potrebbe influire sulle funzionalità esterne all'applicazione o al componente che ha attivato l'evento. 
    
    
    Critico Indica un errore che non consente il ripristino automatico dell'applicazione o del componente che ha attivato l'evento.
    
    
    Nel registro sicurezza possono verificarsi i seguenti livelli di gravità degli eventi:
    
    Operazioni riuscite. Indica che l'esercizio di un diritto utente è riuscito. 
    
    
    Controllo operazioni non riuscite. Indica che l'esercizio di un diritto utente non è riuscito. 
    
    
    Nella normale visualizzazione elenco del Visualizzatore eventi queste classificazioni sono rappresentate da un simbolo.
     
    Utente
     Il nome dell'utente per conto del quale si è verificato l'evento. Questo nome corrisponde all'ID client se l'evento è stato effettivamente causato da un processo server o all'ID primario se non c'è rappresentazione. Dove possibile, una voce del registro sicurezza include sia gli ID primari, sia gli ID di rappresentazione. La rappresentazione ha luogo quando il server consente a un processo di assumere gli attributi di sicurezza di un altro processo.
     
    Codice operativo
     Contiene un valore numerico che identifica l'attività o il punto all'interno di un'attività eseguito dall'applicazione al momento dell'evento. Ad esempio, l'inizializzazione o la chiusura.
     
    Registro 
     Il nome del file di registro dove l'evento è stato registrato.
     
    Categoria attività
     Utilizzato per rappresentare un sottocomponente o un'attività dell'autore di eventi.
     
    Parole chiave
     Un gruppo di categorie o tag che possono essere utilizzati per filtrare o eseguire una ricerca sugli eventi. Ad esempio "Rete", "Sicurezza" o "Impossibile trovare la risorsa".
     
    Computer
     Il nome del computer in cui si è verificato l'evento. Il nome del computer è in genere il nome del computer locale, ma può essere il nome di un computer che ha inoltrato l'evento o anche il nome del computer locale prima che il suo nome sia stato modificato.
     
    Data e ora
     La data e l'ora in cui l'evento è stato registrato.
     
    
    La tabella seguente mostra le proprietà che possono essere visualizzate aggiungendo colonne alla visualizzazione del Visualizzatore eventi. Per ulteriori informazioni sull'aggiunta di colonne alla visualizzazione, vedere Visualizzare o nascondere le proprietà evento.
    
    
    Nome proprietà Descrizione 
    ID processo
     Il numero di identificazione per il processo che ha generato l'evento.
     
    ID thread
     Il numero di identificazione per il thread che ha generato l'evento.
     
    ID processore
     Il numero di identificazione per il processore che ha elaborato l'evento.
     
    ID sessione
     Il numero di identificazione per la sessione di terminal server nella quale si è verificato l'evento.
     
    Tempo kernel
     Tempo di esecuzione trascorso per le istruzioni in modalità kernel, in unità di tempo CPU. 
     
    Tempo utente
     Il tempo di esecuzione trascorso per le istruzioni in modalità utente, in unità di tempo CPU.
     
    Tempo processore
     Il tempo di esecuzione trascorso per le istruzioni in modalità utente, in tick CPU.
     
    ID di correlazione
     Identifica l'attività in corso nella quale l'evento è coinvolto. Questo identificato è utilizzato per specificare relazioni semplici tra eventi.
     
    ID di correlazione relativo
     Identifica un'attività correlata in un processo nel quale l'evento è coinvolto.
     
    
    Ciao
    domenica 25 luglio 2010 18:56
  • scusa la mia insistenza e ignoranza, ma cosa significa questa differenza?:  Origine:    Microsoft-Windows-Security-Auditing
    Data:     25/07/2010 10:00:35
    ID evento:   4608

    e:   <TimeCreated SystemTime="2010-07-25T 08:00:35.296875000Z" />
    quando a questa ora il pc non era neppure acceso? come descritto nel post precedente?

    ciao

     

    domenica 25 luglio 2010 19:11
  • Ciao,

    niente di cui scusarti , ci mancherebbe come ti dicevo TimeCreatd e l'ora in cui si verifica l'evento,

    e Registrato che visualizzi sulla scheda generale, corrisponte alla registrazione nel registro eventi.

    Tieni conto che comunque anche a pc spento esempio avviene la deframmentazione se pianificata

    del o dei dischi rigidi del computer e non solo.

    Ciao e mi scuso io se non dovesse esserti di aiuto a sufficienza o per niente questo post.

    • Contrassegnato come risposta alpha45 mercoledì 28 luglio 2010 17:53
    domenica 25 luglio 2010 19:51