4月8日晚上8:30我的PC(索尼VAIO笔记本电脑,Windows 10,64x)遇到了一些问题,它自动关闭了。屏幕突然挂起,几秒钟后它关闭(没有正确关机或任何BSOD)
半小时后,我打开电脑,在启动缓慢后一切都很好,但我没注意到的是系统的时间已经改变了。
我开始备份我的数据并仅保留基本操作(没有WiFi,蓝牙或任何外部设备)
11个小时后(4月9日,上午7:30),备份完成后,我以为我会检查问题。所以我打开了事件查看器来查看日志,但是那时我注意到系统时间已经过去了一天,系统时间是4月8日上午6点45分左右,并且它不会显示8之后的任何日志4月6:45 AM。
我需要的日志是4月8日晚上8:30的日志,但系统认为时间还没有发生!
我手动设置正确的时间,希望记录显示,如果有的话,但他们没有。
我确定我的PC崩溃的原因是由于驱动程序或硬件故障,因为最近发生了多次这种情况。我还没有确定原因。
我怎样才能找回丢失的日志?
1
只要事件日志服务正常工作,那些日志条目应该在错误的时间内存在。默认视图按其写入的相反顺序显示事件,不一定按时间戳显示。丢失的事件应该在更改时间之前找到。您将看到事件从8日登录到9日。
—
CConard96年
@ CConard96如果时间戳是未来的系统时间,那么仍会显示日志?但我找不到任何东西。搜索日志时不使用过滤器。
—
Vijay Chavda
他们应该......否则人们可以通过改变系统时间来躲避审计和安全日志记录。就像我说的那样,它们不会按照时间戳的顺序排列。您可以单击时间列以按时间戳排序。
—
CConard96 2017年
@ CConard96是的,我相信你是对的..它不会基于时间戳。但我显然尝试了排序和搜索,没有日志!
—
Vijay Chavda