Как включить отслеживание событий завершения работы в Windows 10
Когда пользователь выключает компьютер из меню Пуск, Windows завершает работу сразу. Так и должно быть, но есть случаи, когда для завершения работы операционной системы может понадобиться подтверждение. Например, администратору необходимо как можно дольше продержать систему в состоянии простоя, предотвращая ее перезапуск встроенным или сторонним программным обеспечением. Также это может понадобиться для регистрации причин незапланированной перезагрузки или выключения компьютера.
Для этого в Windows 10 есть такая функция как Trackdown Event Tracker. Если ее включить, система станет записывать указанную пользователем причину перезагрузки или завершения работы в специальный раздел журнала событий. Активировать ее можно с помощью редактора локальных групповых политик и редактора реестра. Используйте какой вам удобнее.
Запустите редактор политик командой gpedit.msc и перейдите по цепочке Конфигурация компьютера -> Административные шаблоны -> Система.
Прокрутив список параметров вниз, найдите в правой колонке настройку «Отображать средство регистрации событий завершения работы».
Кликните по ней дважды и установите радиокнопку в положение «Включено».
Значение параметра отображения выбираем или оставляем «Всегда».
Теперь, если вы попробуете выключить или перезагрузить ПК через меню Пуск, в левом нижнем углу появится меню, в котором вам будет предложено выбрать причину выключения или перезагрузки.
Изменится вид и диалогового окошка Alt + F4 , в нем также появится аналогичное меню.
Если компьютер будет выключен внезапно или перезагружен принудительно, после загрузки на рабочем столе появится окно с формой, в которой пользователя попросят указать вероятную причину непредвиденного завершения работы и добавить при желании свой комментарий.
Вот так работает Trackdown Event Tracker. Пара моментов, о которых следует знать — выходы из учетной записи подтверждения не требуют, выключение или перезагрузка командой shutdown с параметрами /s или /r выполняется в обычном режиме без регистрации.
Если захотите включить функцию через реестр, разверните в нем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Reliability (последнего подкаталого может и не быть) и создайте в подразделе Reliability два DWORD -параметра.
С именами ShutdownReasonOn и ShutdownReasonUI. В качестве значения обоих параметров установите 1.
Новые настройки вступят с силу после перезагрузки компьютера. Для отключения функции измените значения на 0 или просто удалите созданные параметры.
Использование службы времени Windows для отслеживания Windows Time for Traceability
Применяется к: Windows Server 2016 версии 1709 или более поздних, а также Windows 10 версии 1703 или более поздних. Applies to: Windows Server 2016 version 1709 or later, and Windows 10 version 1703 or later
Согласно нормативам во многих сферах требуются системы для отслеживания в формате UTC. Regulations in many sectors require systems to be traceable to UTC. Это означает, что должно подтверждаться определенное смещение времени системы относительно UTC. This means that a system’s offset can be attested with respect to UTC. Согласно сценариям соответствия нормативным требованиям Windows 10 (версии 1703 и более поздних версий) и Windows Server 2016 (версия 1709 и более поздних версий) предоставляют новые журналы событий, чтобы описать картину с точки зрения операционной системы и сформировать понимание действий, выполняемых в системных часах. To enable regulatory compliance scenarios, Windows 10 (version 1703 or higher) and Windows Server 2016 (version 1709 or higher) provides new event logs to provide a picture from the perspective of the Operating System to form an understanding of the actions taken on the system clock. Эти журналы событий создаются постоянно для службы времени Windows. Их можно проверять и архивировать для последующего анализа. These event logs are generated continuously for Windows Time service and can be examined or archived for later analysis.
Новые события позволяют получить ответы на следующие вопросы: These new events enable the following questions to be answered:
- изменились ли системные часы; Was the system clock altered
- изменилась ли тактовая частота; Was the clock frequency modified
- изменилась ли конфигурация Службы времени Windows. Was the Windows Time service configuration modified
доступность; Availability
Эти улучшения включены в Windows 10 версии 1703 и более поздние версии, а также в Windows Server 2016 версии 1709 и более поздние версии. These improvements are included in Windows 10 version 1703 or higher, and Windows Server 2016 version 1709 or higher.
Конфигурация Configuration
Чтобы использовать эту возможность, дополнительная настройка не требуется. No configuration is required to realize this feature. Создание журналов событий включено по умолчанию, и их можно найти в средстве просмотра событий в канале Applications and Services Log\Microsoft\Windows\Time-Service\Operational. These event logs are enabled by default and can be found in the event viewer under the Applications and Services Log\Microsoft\Windows\Time-Service\Operational channel.
Список журналов событий List of Event Logs
В следующем разделе описываются события, регистрируемые для использования в сценариях отслеживания. The following section outlines the events logged for use in traceability scenarios.
Это событие регистрируется при запуске службы времени Windows (W32Time) и записывает сведения о текущем времени, текущее количество тактов, конфигурацию среды выполнения, поставщики времени и текущую частоту синхронизации. This event is logged when the Windows Time Service (W32Time) is started and logs information about the current time, current tick count, runtime configuration, time providers, and current clock rate.
| Описание события Event description | Запуск службы Service Start |
|---|---|
| Подробности Details | Происходит при запуске W32Time Occurs at W32time Startup |
| Зарегистрированные данные Data logged |
|
| Механизм регулирования Throttling mechanism | Нет. None. Это событие происходит при каждом запуске службы. This event fires every time the service starts. |
Пример. Example:
Команда: Command:
Эти сведения также можно запросить с помощью следующих команд. This information can also be queried using the following commands
W32Time и конфигурация поставщика времени W32Time and Time Provider configuration
Частота синхронизации Clock Rate
Это событие регистрируется при остановке службы времени Windows (W32Time) и записывает сведения о текущем времени и частоте синхронизации. This event is logged when the Windows Time Service (W32Time) is stopping and logs information about the current time and tick count.
| Описание события Event description | Остановка службы Service Stop |
|---|---|
| Подробности Details | Происходит при остановке W32Time Occurs at W32time Shutdown |
| Зарегистрированные данные Data logged |
|
| Механизм регулирования Throttling mechanism | Нет. None. Это событие срабатывает при каждой остановке службы. This event fires every time the service stops. |
Пример текста: W32time service is stopping at 2018-03-01T05:42:13.944Z (UTC), System Tick Count 6370250. Example text: W32time service is stopping at 2018-03-01T05:42:13.944Z (UTC), System Tick Count 6370250.
С этим событием периодически регистрируется текущий список источников времени и выбранный источник времени. This event periodically logs its current list of time sources and its chosen time source. Кроме того, регистрируется текущее количество тактов. In addition, it logs the current tick count. Это событие не происходит при каждом изменении источника времени. This event does not fire each time a time source changes. Эту функциональность предоставляют другие события, перечисленные далее в этом документе. Other events listed later in this document provide this functionality.
| Описание события Event description | Периодическое состояние поставщика NTP-клиента NTP Client Provider Periodic Status |
|---|---|
| Подробности Details | Список источников времени, которые использует NTP-клиент List of time sources(s) used by NTP Client |
| Зарегистрированные данные Data logged |
|
| Механизм регулирования Throttling mechanism | Заносится в журнал каждые 8 часов. Logged once every 8 hours. |
Пример текста: NTP Client provider periodic status: Example text: NTP Client provider periodic status:
Ntp Client is receiving time data from the following NTP Servers: Ntp Client is receiving time data from the following NTP Servers:
server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123)server2.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123); and the chosen reference time server is Server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123) (RefID:0x08d6648e63). server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123)server2.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123); and the chosen reference time server is Server1.fabrikam.com,0x8 (ntp.m|0x8|[::]:123->[IPAddress]:123) (RefID:0x08d6648e63). System Tick Count 13187937 System Tick Count 13187937
Команда. Эти сведения также можно запросить с помощью следующих команд. Command This information can also be queried using the following commands
Одноранговые узлы идентификации w32tm.exe /query /peers Identify Peers w32tm.exe /query /peers
| Описание события Event description | Конфигурация и состояние службы времени Time service configuration and status |
|---|---|
| Подробности Details | Служба W32Time периодически регистрирует данные о своих конфигурации и состоянии. W32time periodically logs its configuration and status. Это эквивалент вызова: This is the equivalent of calling: w32tm /query /configuration /verbose |
| Механизм регулирования Throttling mechanism | Заносится в журнал каждые 8 часов. Logged once every 8 hours. |
Каждый экземпляр записывается в журнал при изменении системного времени с помощью API SetSystemTime. This logs each instance when System Time is modified using SetSystemTime API.
| Описание события Event description | Системное время задано. System Time is set |
|---|---|
| Механизм регулирования Throttling mechanism | Нет. None. Это редко происходит в системах с рациональной синхронизацией времени и нам требуется регистрировать каждый такой случай. This should happen rarely on systems with reasonable time synchronization, and we want to log it each time it occurs. Параметр TimeJumpAuditOffset следует игнорировать при регистрации этого события, так как он предназначен для регулирования событий в журнале системных событий Windows. We ignore TimeJumpAuditOffset setting while logging this event since that setting was meant to throttle events in the Windows System event log. |
| Описание события Event description | Частота системных часов скорректирована. System clock frequency adjusted |
|---|---|
| Подробности Details | Служба W32Time постоянно изменяет частоту системных часов, если синхронизация часов происходит часто. System clock frequency is constantly modified by W32time when the clock is in close synchronization. Нам необходимо получить значимые изменения частоты часов без перезапуска журнала событий. We want to capture «reasonably significant» adjustments made to the clock frequency without overrunning the event log. |
| Механизм регулирования Throttling mechanism | Настройки часов ниже значения TimeAdjustmentAuditThreshold (минимальное — 128 миллионных долей, по умолчанию — 800 миллионных долей) не регистрируются. All clock adjustments below TimeAdjustmentAuditThreshold (min = 128 part per million, default = 800 part per million) are not logged. Изменения частоты часов на 2 доли в минуту с текущей степенью детализации добавляет 120 мкс/с к точности часов. 2 PPM change in clock frequency with current granularity yields 120 µsec/sec change in clock accuracy. В синхронизированной системе большая часть корректировок выполняется ниже этого уровня. On a synchronized system, the majority of the adjustments are below this level. Если требуется более точное отслеживание, этот параметр можно скорректировать, уменьшив значение, или использовать PerfCounters. Также можно выполнить оба действия. If you want finer tracking, this setting can be adjusted down or you can use PerfCounters, or you can do both. |
| Описание события Event description | Изменение параметров службы времени или списка загруженных поставщиков времени. Change in the Time service settings or list of loaded time providers. |
|---|---|
| Подробности Details | Повторное чтение параметров W32Time может привести к изменению определенных критических параметров в памяти, что может повлиять на общую точность синхронизации времени. Re-reading W32time settings can cause certain critical settings to be modified in-memory, which can affect the overall accuracy of the time synchronization. Служба W32Time регистрирует каждое событие при повторном считывании его параметров, что обеспечивает потенциальное влияние на синхронизацию времени. W32time logs each occurrence when rereading its settings which gives the potential impact on time synchronization. |
| Механизм регулирования Throttling mechanism | Нет. None. Это событие возникает только тогда, когда администратор или групповая политика изменяют поставщиков времени, а затем активируют службу W32Time. This event occurs only when an admin or GP update changes the time providers and then triggers W32time. Нам нужно записать каждый экземпляр изменения параметров. We want to record each instance of change of settings. |
| Описание события Event description | Изменение источников времени, которые использует NTP-клиент. Change in time source(s) used by NTP Client |
|---|---|
| Подробности Details | NTP-клиент записывает событие с текущим состоянием серверов или узлов времени, когда состояние сервера или однорангового узла изменяется (Ожидание -> Синхронизация, Синхронизация -> Недоступно или при других переходах). NTP Client records an event with the current state of the time servers/peers when a time server/peer changes state (Pending ->Sync, Sync -> unreachable, or other transitions) |
| Механизм регулирования Throttling mechanism | Максимальная частота — только один раз в 5 минут для защиты журнала от временных проблем и неправильной реализации поставщика. Max frequency – only once every 5 minutes to protect the log from transient issues and bad provider implementation. |
| Описание события Event description | Изменение источника или номера страты службы времени. Time service source or stratum number changes |
|---|---|
| Подробности Details | Источник времени и номер страты W32Time — это важные факторы, влияющие на возможность отслеживания времени, и все изменения, внесенные в них, должны регистрироваться. W32time Time Source and Stratum Number are important factors in time traceability and any changes to these must be logged. Если у службы W32Time нет источника времени и вы не настроили ее в качестве надежного источника времени, то она перестанет объявляться в качестве сервера времени и будет отвечать на запросы недопустимыми параметрами. If W32time has no source of time and you have not configured as a reliable time source, then it will stop advertising as a time server, and by-design respond to requests with some invalid parameters. Это событие важно для отслеживания изменений состояния в топологии NTP. This event is critical to track the state changes in an NTP topology. |
| Механизм регулирования Throttling mechanism | Нет. None. |
| Описание события Event description | Запрошено время повторной синхронизации. Time re-synchronization is requested |
|---|---|
| Подробности Details | Эта операция активируется: This operation is triggered:
Эта операция приводит к немедленной утрате точности синхронизации времени, так как NTP-клиент очищает свои фильтры. This operation results in immediate loss of fine-grained time sync accuracy because it causes NTP client to clear its filters. |
| Механизм регулирования Throttling mechanism | Максимальная частота — каждые 5 минут. Max frequency — once every 5 minutes. Возможно, что нерабочая сетевая карта (или плохой скрипт) может повлечь повторную активацию этой операции и привести к переполнению журналов. It is possible that a bad network card (or a poor script) can trigger this operation repeatedly and result in logs getting overwhelmed. Следовательно, это событие необходимо регулировать. Hence the need to throttle this event. |
