Windows → Cлужба времени (W32Time) → Журнал отладки → Преобразование даты записей событий в читаемый вид.
В журнале отладки службы W32Time даты событий хранятся в виде чисел, обозначающих количество дней, прошедших с "начала эпохи" — 01.01.1601 ("windows epoch time"). Такое представление дат неудобно для чтения журнала.
Пример:
152384 06:28:50.9218750s - ---------- Log File Opened -----------------
152384 06:28:50.9218750s - Entered W32TmServiceMain W2K3SP1
152384 06:28:50.9218750s - CurSpc:15625000ns BaseSpc:15625000ns SyncToCmos:Yes
Для преобразования даты в читаемый вид:
-
Скопировать файл журнала отладки службы W32Time в папку
Log. Файл должен называтьсяW32Time.log. -
Запустить convert.bat. Результаты выполнения будут сохранены в следующие файлы:
.\Log\W32Time.out.log.\Log\W32Time.out.localclockoffset.log
Результат:
2018-03-20 06:28:50.9218750s - ---------- Log File Opened -----------------
2018-03-20 06:28:50.9218750s - Entered W32TmServiceMain W2K3SP1
2018-03-20 06:28:50.9218750s - CurSpc:15625000ns BaseSpc:15625000ns SyncToCmos:Yes
Во второй выходной файл сохраняются только строки (события), содержащие подстроку LocalClockOffset.
2018-03-20 06:28:50.9531250s - | LocalClockOffset: 260609000ns - 0:00.260609000s
2018-03-20 06:45:55.2172760s - | LocalClockOffset: -8051800ns - 0:00.008051800s
2018-03-20 07:02:59.2237034s - | LocalClockOffset: -9165300ns - 0:00.009165300s
2018-03-20 07:20:03.2316484s - | LocalClockOffset: -12796700ns - 0:00.012796700s
Предположительно, LocalClockOffset указывает обнаруженный службой W32Time сдвиг времени между локальной системой и сервером времени. Такое обнаружение происходит во время выполнения синхронизации, выполняемой с определённым интервалом (15-20 минут).