none
win7 的日志排序,是遵照什么规则实行的。 RRS feed

  • 问题

  • 工程师大大您好,

    求问,

    以下面图片中三个eventlog 6013,6005,6009为例,他们在打开时发现并不是按时间排序。

    求问带官方文档的解释,政府部门检查我们计算机时发现的,我们需要一个正规的解释。通不过不能获得相关生产许可证名。

    万分感谢。

    2018年2月26日 1:54

全部回复

  • 你好,

    日志是根据时间记录的,在事件查看器中默认是按照时间排序的,但如果你做了某些设置,日志的排列是可以改变的。

    如下图,可以更改日志排序(level, Date and time, Source, Event ID,Task Category)

    还有一种可能就是如果你更改了系统的时间,手动更改或者手动同步等等,那么日志记录显示的时间也会随着系统时间的更改而改变。比如我将系统时间从9:38改为8:38后重启电脑,打开日志后就能看到有两条日志是8:38记录上的,重启后电脑自动同步时间,又改成了9点。

    https://technet.microsoft.com/en-us/library/cc938674.aspx

    Sort Events    By default, Event Viewer sorts events by date and time from the newest to the oldest. When a log is archived, the default sort order is saved. You can also sort events to assess their sequence, filter events for specific characteristics, and search for events based on specific criteria

    从上述官方文档中也提到了这一点。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年2月27日 1:57
  • 你好,

    有任何进展欢迎及时更贴。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年2月28日 1:33
  • 你好,可是我们发现我们每台电脑上都有几条记录名字为eventlog不是按时间排序的(我们没有改时间和手动设置排序)

    这个要怎么和检查人员解释。

    2018年3月2日 2:07
  • 所以只有eventlog 6013,6005,6009这三个日志出现了时间排序的问题吗?

    你可以右击日志另存为,将其上传到网盘,再把连接分享到这儿。这样我可以看到日志的具体内容。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年3月2日 9:59
  • 你好,谢谢您的回复。

    这个不是此台电脑有什么问题,我发现我们这所有电脑都是这样。您也可以看看您自己的电脑,往下多拉几页就会出现eventlog日志,会夹在其他时间之间。

    链接:https://pan.baidu.com/s/1CxvI-OUeM2hovQrKSzsz0Q 密码:kmv6

    我把我日志存下来了。

    这个应该是正常现象,但是我们需要一个解释。

    万分感谢

    2018年3月8日 6:04
  • 你好,

    我在自己的电脑中也发现了你说的这个问题,和其他工程师探讨了这个问题后我们得出了一个合理的解释:

    从下图中我们可以看到event id 为109表示电脑开始执行关机,电脑关机过程中event log service也会关闭。那么在event log service关闭之后,电脑还没有完全关闭之前,这段时间中的日志将不会被记录到event log中而是保存在系统的某个地方A。下次电脑开机过程中,event log service会启动。但是在执行开机,event log service还未开启之前,这段时间的日志也不会被记录,而是记录在系统某个地方B。等event log service开启,日志就能正常被记录了。所以我们先看到6013/6005/6009被写入,表示event log service 开启,接着恢复A和B中的日志。

    所以我们可以看到图中event id 13 为关机(来自A),从event id 12开始都为开机日志(来自B)。event id 6013/6005/6009的记录时间为6:27:00,我们可以从图2中看到,实际上dhcp service开启 event log service 才开启,只是event log service开启后立即插入了(A和B)电脑系统中保存的那部分日志。

    我拿我的日志做的例子可以合理解释你的所有情况,有任何问题请及时联系


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年3月12日 1:49