ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying system time synchronization events on a server monitoring dashboard
Event ID 5056InformationMicrosoft-Windows-Kernel-GeneralWindows

ID d'événement Windows 5056 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 5056 se déclenche lorsque Windows détecte un changement de l'heure système, généralement lors du démarrage ou lorsque la synchronisation de l'heure se produit. Critique pour les pistes d'audit et le dépannage des problèmes liés au temps.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 5056Microsoft-Windows-Kernel-General 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 5056 sert de registre officiel des modifications de l'heure du système, généré par le sous-système de gestion du temps au niveau du noyau. Lorsque l'horloge du système change de plus de quelques secondes, le noyau enregistre cet événement avec des horodatages précis montrant à la fois les anciennes et nouvelles valeurs de temps.

L'événement contient généralement des champs pour l'heure système précédente, la nouvelle heure système et la raison du changement. Les déclencheurs courants incluent la synchronisation du service de temps Windows (W32Time), les ajustements manuels de l'heure via le Panneau de configuration ou PowerShell, la reprise après hibernation ou veille, et les corrections de l'heure BIOS/UEFI lors du démarrage.

Dans les environnements d'entreprise, cet événement aide les administrateurs à suivre les problèmes de dérive temporelle qui peuvent affecter l'authentification Kerberos, la validation des certificats et les applications distribuées. L'événement joue également un rôle crucial dans les enquêtes judiciaires, car il fournit une piste d'audit de quand l'heure du système a été modifiée et par quel processus.

Les versions modernes de Windows en 2026 ont amélioré cet événement avec un contexte supplémentaire sur la source de temps et le statut de synchronisation, facilitant la distinction entre les mises à jour NTP légitimes et les tentatives potentiellement malveillantes de manipulation du temps.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Service de temps Windows (W32Time) synchronisant avec des serveurs NTP ou des contrôleurs de domaine
  • Ajustement manuel de l'heure via les paramètres Date & Heure ou la cmdlet PowerShell Set-Date
  • Système reprenant après un état de veille, d'hibernation ou d'arrêt
  • Corrections de l'horloge BIOS/UEFI lors du démarrage du système
  • Synchronisation de l'heure de la machine virtuelle avec l'hôte hyperviseur
  • Logiciel de synchronisation de temps tiers effectuant des ajustements
  • Correction de la dérive de l'horloge matérielle par le système d'exploitation
  • Changements de fuseau horaire ou transitions de l'heure d'été
Méthodes de résolution

Étapes de dépannage

01

Vérifier les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 5056 pour comprendre ce qui a déclenché le changement d'heure.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez pour l'ID d'événement 5056 en cliquant avec le bouton droit sur SystèmeFiltrer le journal actuel → entrez 5056 dans le champ ID d'événements
  4. Double-cliquez sur les événements récents 5056 pour voir les détails, y compris l'heure précédente, la nouvelle heure et les informations sur le processus
  5. Vérifiez l'onglet Général pour l'ampleur du changement d'heure et l'onglet Détails pour un contexte supplémentaire

Cherchez des motifs dans le timing - des événements fréquents peuvent indiquer des problèmes NTP, tandis que des événements isolés lors du démarrage sont généralement normaux.

02

Interroger les événements avec PowerShell

Utilisez PowerShell pour analyser les modèles d'ID d'événement 5056 et extraire des informations détaillées de manière programmatique.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents de changement d'heure :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=5056} -MaxEvents 20 | Format-Table TimeCreated, LevelDisplayName, Message -Wrap
  3. Extrayez des détails spécifiques sur le changement d'heure :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=5056} -MaxEvents 10 | ForEach-Object { [xml]$xml = $_.ToXml(); Write-Output "Time: $($_.TimeCreated) - Previous: $($xml.Event.EventData.Data[0].'#text') - New: $($xml.Event.EventData.Data[1].'#text')" }
  4. Vérifiez les événements des dernières 24 heures :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=5056; StartTime=(Get-Date).AddDays(-1)}

Cette méthode aide à identifier les modèles de fréquence et à corréler les changements d'heure avec d'autres événements système.

03

Examiner la configuration du service de temps Windows

Examinez les paramètres du service W32Time pour déterminer si la synchronisation de l'heure provoque des entrées fréquentes de l'ID d'événement 5056.

  1. Vérifiez l'état actuel du service de temps :
    w32tm /query /status
  2. Consultez la configuration du service de temps :
    w32tm /query /configuration
  3. Vérifiez les sources du serveur NTP :
    w32tm /query /peers
  4. Examinez les paramètres du registre du service de temps :
    Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Parameters"
  5. Testez la synchronisation de l'heure manuellement :
    w32tm /resync /rediscover
Astuce pro : Dans les environnements de domaine, vérifiez si l'émulateur PDC est correctement configuré comme source de temps autoritaire pour éviter les problèmes de dérive temporelle.
04

Surveiller les sources de synchronisation temporelle

Identifiez et validez les sources de temps provoquant des changements de l'heure système pour vous assurer qu'elles sont légitimes et correctement configurées.

  1. Activez la journalisation détaillée de W32Time :
    w32tm /debug /enable /file:C:\temp\w32time.log /size:10000000 /entries:0-300
  2. Vérifiez la source de temps actuelle et le niveau :
    w32tm /query /source

    w32tm /query /status | findstr "Stratum\|Source"
  3. Vérifiez l'accessibilité du serveur NTP :
    w32tm /stripchart /computer:time.windows.com /samples:5
  4. Examinez les journaux d'événements du service de temps :
    Get-WinEvent -LogName "Microsoft-Windows-Time-Service/Operational" -MaxEvents 50
  5. Désactivez la journalisation de débogage une fois terminé :
    w32tm /debug /disable

Cette méthode aide à identifier si les changements de temps proviennent de sources légitimes ou d'une manipulation potentiellement malveillante du temps.

05

Configurer l'audit et les alertes de changement d'heure

Configurez une surveillance complète des changements de temps pour détecter les anomalies et maintenir la conformité des audits.

  1. Activez la stratégie d'audit avancée pour les changements de temps :
    auditpol /set /subcategory:"System Integrity" /success:enable /failure:enable
  2. Créez une tâche planifiée pour surveiller les changements de temps fréquents :
    $action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command Get-WinEvent -FilterHashtable @{LogName='System'; Id=5056; StartTime=(Get-Date).AddMinutes(-5)} | Out-File C:\logs\timechanges.log -Append"

    $trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 5)

    Register-ScheduledTask -TaskName "MonitorTimeChanges" -Action $action -Trigger $trigger
  3. Configurez une vue personnalisée dans le Visualiseur d'événements pour les événements liés au temps :
    Accédez à Visualiseur d'événementsVues personnaliséesCréer une vue personnalisée → filtrez pour les ID d'événement 5056, 1, 12, 129
  4. Configurez le transfert d'événements Windows pour une surveillance centralisée :
    winrm quickconfig

    wecutil qc
Avertissement : Une surveillance excessive des changements de temps peut générer un volume de journaux important. Configurez les politiques de rétention de manière appropriée.

Aperçu

L'ID d'événement 5056 de Microsoft-Windows-Kernel-General se connecte chaque fois que Windows détecte un changement de l'heure système. Cet événement se déclenche lors d'opérations normales comme le démarrage du système, la synchronisation NTP, les ajustements manuels de l'heure ou lors de la reprise après des états de veille. L'événement capture à la fois les valeurs de l'heure précédente et nouvelle, ce qui le rend essentiel pour l'audit de sécurité et le dépannage des applications sensibles au temps.

Vous trouverez cet événement dans le journal Système sous Observateur d'événementsJournaux WindowsSystème. L'événement fournit des informations détaillées sur ce qui a déclenché le changement d'heure, qu'il s'agisse d'une synchronisation automatique ou d'un ajustement manuel. Dans les environnements de domaine, des événements 5056 fréquents indiquent souvent des problèmes de configuration NTP ou des problèmes de connectivité réseau avec les contrôleurs de domaine.

Cet événement devient critique lors de l'investigation d'incidents de sécurité, car les attaquants manipulent parfois l'heure système pour échapper à la détection ou contourner les contrôles de sécurité basés sur le temps. Les administrateurs de bases de données surveillent également cet événement car les changements d'heure peuvent affecter les journaux de transactions et les processus de réplication.

Questions Fréquentes

Que signifie l'ID d'événement 5056 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 5056 indique que Windows a détecté un changement de l'heure système. Cela est normal lors du démarrage, de la synchronisation NTP ou des ajustements manuels de l'heure. Soyez préoccupé si vous constatez des changements d'heure inattendus fréquents (plus d'une fois toutes les quelques minutes) en dehors des fenêtres de synchronisation programmées, car cela pourrait indiquer un logiciel malveillant, des problèmes matériels ou des services de temps mal configurés. Dans les environnements sensibles à la sécurité, tout changement d'heure inattendu mérite une enquête, car les attaquants manipulent parfois l'heure système pour échapper à la détection ou contourner les contrôles de sécurité basés sur le temps.
Comment puis-je distinguer les changements d'heure légitimes et suspects dans l'ID d'événement 5056 ?+
Les changements d'heure légitimes se produisent généralement lors du démarrage du système, de la synchronisation NTP programmée (généralement toutes les 8 heures par défaut), ou lors de la reprise des états de veille. Les changements suspects se produisent à des intervalles irréguliers, impliquent de grands sauts de temps (plus de quelques minutes), ou se produisent sans événements correspondants du service W32Time. Vérifiez les détails de l'événement pour le processus qui a initié le changement - les changements légitimes proviennent généralement de processus système comme le service W32Time, tandis que les changements suspects peuvent provenir de processus inconnus ou d'interventions manuelles à des moments inhabituels.
Pourquoi vois-je plusieurs entrées d'ID d'événement 5056 toutes les quelques minutes ?+
Les entrées fréquentes de l'ID d'événement 5056 indiquent généralement des problèmes de synchronisation temporelle. Les causes courantes incluent des serveurs NTP mal configurés, des problèmes de connectivité réseau empêchant une synchronisation temporelle correcte, des sources de temps conflictuelles (comme VMware Tools et W32Time), ou une dérive de l'horloge matérielle. Vérifiez votre configuration W32Time avec 'w32tm /query /status' et vérifiez l'accessibilité du serveur NTP. Dans les environnements virtuels, assurez-vous qu'une seule méthode de synchronisation temporelle est active - soit l'intégration de l'hyperviseur, soit W32Time, mais pas les deux.
L'ID d'événement 5056 peut-il affecter la performance ou la sécurité des applications ?+
Oui, les changements fréquents d'heure peuvent avoir un impact significatif sur les applications et la sécurité. L'authentification Kerberos échoue si la dérive temporelle dépasse 5 minutes par défaut, provoquant des problèmes de connexion au domaine. Les applications de base de données peuvent rencontrer des problèmes de journaux de transactions ou des échecs de réplication. La validation des certificats peut échouer si l'heure système est incorrecte. Les journaux de sécurité deviennent peu fiables pour l'analyse judiciaire lorsque les horodatages sont incohérents. Les applications sensibles au temps, comme les systèmes de trading financier ou les logiciels de sauvegarde, peuvent mal fonctionner. Toujours enquêter et résoudre rapidement la cause profonde des changements d'heure inattendus.
Comment puis-je éviter les entrées inutiles d'ID d'événement 5056 tout en maintenant une synchronisation temporelle appropriée ?+
Configurez correctement le service W32Time pour réduire les événements de changement d'heure inutiles. Définissez des intervalles de sondage appropriés en utilisant 'w32tm /config /manualpeerlist:"time.windows.com" /syncfromflags:manual /reliable:yes /update'. Dans les environnements de domaine, assurez-vous que seul l'émulateur PDC se synchronise avec des sources externes tandis que les autres serveurs se synchronisent avec le PDC. Pour les machines virtuelles, désactivez la synchronisation temporelle de l'hyperviseur si vous utilisez W32Time. Envisagez d'augmenter le seuil de correction temporelle dans le registre à HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection pour réduire les ajustements mineurs qui déclenchent des événements.
Documentation

Références (2)

1
Microsoft Learn - Windows Time Service Technical ReferenceComprehensive documentation on Windows Time Service configuration, troubleshooting, and best practices for enterprise environments.https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tech-ref
2
Microsoft Docs - Event ID Reference for System EventsOfficial reference for Windows system events including kernel-generated events like time changes and system state modifications.https://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging-reference
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#system-monitoring#windows-time-service#event-id-5056

Événements Windows associés

Windows Event Viewer showing system time change events on a monitoring dashboard
Event 11708
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11708 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11708 indique que l'heure du système a été modifiée, soit manuellement par un utilisateur, soit automatiquement par des services de synchronisation de l'heure. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 5889
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 5889 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 5889 indique que l'heure du système a été modifiée, soit manuellement par un utilisateur, soit automatiquement par des services de synchronisation de l'heure. Cet événement aide à suivre les modifications de l'heure à des fins de sécurité et d'audit.

18 mars12 min
Windows Event Viewer showing system time change events on a monitoring dashboard
Event 5121
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 5121 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 5121 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars12 min
System administrator analyzing Windows kernel errors and event logs on multiple monitoring displays
Event 5058
Microsoft-Windows-Kernel-General
Windows EventError

ID d'événement Windows 5058 – Microsoft-Windows-Kernel-General : Échec de l'opération de fichier clé

L'ID d'événement 5058 indique une défaillance critique d'opération de fichier au niveau du noyau, impliquant généralement des fichiers système, des ruches de registre ou des bases de données de sécurité que Windows ne peut pas accéder ou modifier correctement.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...