c# - WQLを使用してWMIからWin32_NTLogEventクラスをクエリする場合、TimeGeneratedプロパティはコンピューターの現地時間またはGMTに基づいていますか？

Question

いくつかのドメインコントローラーでイベントログをかき回すC＃Windowsサービスを作成しています。それらのいくつかはWindowsServer2003であり、いくつかはWindows Server 2008です。サービスが停止すると、ログで中断したところから再開しようとしています。代わりにこれを行うために

SELECT * FROM Win32_NTLogEvent WHERE --criteria for events I am looking for

私がやっている

SELECT * FROM Win32_NTLogEvent WHERE TimeGenerated = --some date AND --criteria for events I am looking for

ある時点で、TimeGeneratedフィールドはサーバーの現地時間であると確信していましたが、現在、Windows2008サーバーはGMTを使用してその時間を記録しているようです。これが2つのオペレーティングシステムの機能の仕方が本当に異なる場合、またはこれが構成の問題である場合、誰かが光を当てることができますか？

Answer 1

さらに、Windows Server 2008より前のバージョンでは、TimeGeneratedは現地時間で返されましたが、他の人が気付いていたように、Server2008ではGMTに変更されたようです。

• http://social.msdn.microsoft.com/Forums/en/servercorefordevelopers/thread/e933b476-5d30-4629-955d-6828ec3e8002
• http://www.ms-news.net/f3617/win32_ntlogevent-11570228.html
• http://84.45.57.224/win32-ntlogEvent-timegenerated-is-in-gmt_topic21473.html

Answer 2

Windowsのタイムスタンプは常にUTCで記録されます。これらは、イベントビューアやエクスプローラ（ファイル時間用）など、データの表示に使用するGUIプログラムでのみ現地時間に変換されます。この動作は、夏時間の移行時にランダムな障害が発生しないようにするために重要です。

Answer 3

このようなものが役立つかもしれません：

("Select * from Win32_NTLogEvent Where Logfile = 'Application' AND EventCode = '999' AND Message Like '%message%' AND TimeGenerated = '201202210000000000.000000+***'")

TimeGenerated構文は逆方向に設定されているため、上記の例でyearmonthdaytimeminutesseconds.000000+\***は前の例000000+\***が必要です。

お役に立てれば。