Windows

什么是Windows事件查看器,如何打开和使用事件日志

  • Windows 事件查看器是最被低估的工具之一,它可以帮助你诊断 Windows 计算机并排除故障。
  • Windows 事件查看器是操作系统记录操作的日志。
  • 了解如何使用事件查看器日志来排除和修复 Windows 中的软件和硬件问题。
排除计算机故障

很多电脑问题都不会导致明显的错误信息,您可以在最喜欢的搜索引擎中快速查找。如果你的电脑出现故障,却没有提示你发生了什么,那就真的很难 故障排除与修复 问题的根源。

是时候深入挖掘了。最好的实用工具莫过于 Windows 事件查看器 我能想到的。让我们开始吧。

什么是 Windows 事件查看器?

大多数 Windows 服务和程序都会定期向 Windows 日志添加各种信息。可以把它想象成日记。使用 Windows 事件查看器系统实用程序可以轻松访问、过滤和读取事件日志。

Windows 预装了事件查看器,非技术人员也能轻松使用。Windows 事件查看器是排查 Windows 系统故障的强大工具。

Windows 事件日志中存储的信息类型

Windows 事件查看器不仅包括关键错误日志,还包括由以下程序添加的其他类型信息 (1) 已安装的应用程序、 (2) 安全服务,或 (3) 系统本身。

根据日志内容和触发事件的不同,事件日志有不同的事件重要性级别:

  • 关键
  • 错误
  • 警告
  • 信息
  • 冗长

每个事件日志都包含有关其来源、启动事件的应用程序、程序或服务、与事件相关的用户和计算机、事件 ID、便于筛选的关键字、事件时间戳的信息,以及实际发生情况的文字描述。

事件描述可能是人类可读的,但绝不是,不要指望读完后会有灵光一现。要想成功解决您的问题,谷歌搜索内容仍然是最好的选择。

如何打开 Windows 事件查看器

让我们来看看打开 Windows 事件查看器实用程序的几种最快方法:

在 "开始 "菜单中搜索 "事件查看器

这就是我在 Windows 中启动大多数东西的方式:我在开始菜单中搜索它们。

  1. 点击进入 开始菜单 或按 Win 键。
  2. 类型 事件查看器 来搜索小工具。
  3. 点击第一个结果打开。
窗口事件查看器开始菜单

从 WinX 菜单打开事件查看器

另一种快速方法涉及 "开始 "菜单按钮后面的隐藏菜单。在 Windows 中,大多数东西都可以通过右键单击来显示上下文菜单,这并不神秘,但 WinX 菜单是一个相当新的功能,所以大多数人都不知道它。

  1. 右键单击 "开始 "菜单按钮或按下 Win + X 快捷键,即出现 WinX 菜单。
  2. 左键单击事件查看器条目。
启动事件查看器 Winx 菜单

使用运行命令打开事件查看器

如果您习惯使用 "运行 "对话框,那么要使用 "运行 "命令打开 Even Viewer,您必须这样做。

  1. 按下 Win + R 快捷键,打开 "运行 "对话框菜单。
  2. 类型 事件然后按 Enter 键打开 Windows 事件查看器。
窗口事件查看器运行对话框

从 CMD(命令提示符)打开 Windows 事件查看器

同样的命令可用于命令提示符、PowerShell 和 Windows 终端:

  1. 用 Win 键打开 "开始 "菜单。
  2. 搜索 命令提示符, PowerShell,或 Windows终端 并打开第一个结果。
  3. 在命令行界面键入 事件随后按 Enter 键执行命令,打开 Windows 事件查看器。
事件查看器 cmd 命令提示符

如何使用事件查看器日志

既然我们已经了解了事件查看器是什么,它有什么功能,下面我们就来讨论一下程序界面,以及如何利用它为你带来好处。别担心,因为它非常直观。

如何浏览窗口事件查看器界面

每次打开应用程序,你都会看到这样的内容:中间一栏是记录事件的摘要,左边是导航树,右边是一系列操作。

窗口事件查看器

您将使用 (1) 左侧菜单 导航到事件类别。默认情况下,这些事件分为四类:

  1. 自定义视图 - 根据特定条件过滤的事件。您将在本文后面看到如何将自定义视图添加到已有的 "管理事件 "自定义视图中。
  2. Windows 日志 - 由 Windows 添加的条目,按应用程序、安全、设置、系统和转发事件分组。
  3. 应用程序和服务日志 - 各种已安装程序的日志。
  4. 订阅 - 如果您的电脑配置了从其他电脑收集事件的功能,日志就会显示在这里。
  5. 保存的日志 - 只有在同一台计算机或另一台 Windows PC 上导入用事件查看器导出的日志文件后,本部分才会显示。
窗口事件查看器系统日志

导航到左侧菜单的某个部分后,中间一栏会刷新并显示 (2) 活动一览表 按日期和时间排序和 (3) 当前所选事件的详细信息 从之前的列表中删除。

右侧面板包含右键单击事件文件夹或事件条目时可用的操作。

双击事件会在一个单独的弹出窗口中打开其详细信息,该窗口有两个选项卡:常规和详细信息。

如何搜索事件查看器日志

仅在 7 天内,我就记录了 20,000 多个事件。可以想象,如果不能搜索或过滤事件列表,要查找某个特定事件会很困难。

幸运的是,在 Windows 事件查看器中,从左侧树中选择一个事件类别后,就可以轻松做到这一点。

让我们试着寻找 内存 在 Windows 日志 > 系统部分查看相关事件,只是为了好玩。

1.右键单击当前事件文件夹,选择 查找... 打开搜索对话框。

查找事件查看器日志

2.一个非常简单的 "查找 "对话窗口就会显示出来,并带有一个文本字段。写下搜索词,然后按查找下一步。

搜索事件查看器日志

3.如果没有找到与您的搜索查询相关的事件,您会看到这条信息。它会提醒您 日志搜索从列表中当前选定的事件开始,直到列表中的最后一个元素按日期和时间排序。因此,如果您想搜索整个列表,请先选择第一个事件,然后再点击 查找下一个.

搜索事件查看器日志 一无所获

4.如果找到与您的搜索词匹配的事件,该事件将自动突出显示,其详细信息将显示在中间栏的底部。

搜索事件查看器日志 内存关键字

如果这不是您要查找的内容,请单击 "查找下一个 "以查找下一个匹配事件。由于没有计数器,因此无法事先知道搜索会返回多少结果。

如何在事件查看器中过滤当前日志

另一个强大的功能是可以对每个事件类别应用过滤器。关闭事件查看器应用程序后,过滤器会自动重置,以防万一。

1.从左侧菜单中选择所需的事件类别。

2.右键单击文件夹名称,选择 过滤当前日志... 选择。

事件查看器过滤当前日志

3.弹出一个窗口。您可以

  1. 为事件筛选器应用时间范围,从最后一小时到最后 30 天,还可选择自定义范围。
  2. 根据重要性选择事件级别。
  3. 选择事件源。
  4. 选择特定的事件 ID 或 ID 范围。
  5. 选择关键字
  6. 选择与事件关联的用户。
  7. 选择与事件链接的计算机。
事件查看器过滤器当前日志设置

4.要重置过滤器,要么关闭事件查看器,要么再次右键单击文件夹并选择 清除过滤器 选择。

如何在 Windows 事件查看器中创建自定义视图

更持久的解决方案是创建自定义视图。即使重新启动 Windows 事件查看器应用程序,这些视图也会显示在自定义视图文件夹中。

1.右键单击自定义视图文件夹,选择 创建 自定义视图... 选择。

创建自定义视图事件查看器

2.这看起来很像事件过滤窗口,因为几乎完全相同。唯一的新选项是可以选择偶数日志类别。

创建自定义视图事件查看器设置

选择所有需要的过滤器后,点击确定。

3.如果选择的选项过多,就会出现警告。在性能相当强大的电脑上,你不会遇到任何性能问题。在旧电脑上,事件查看器可能会显示性能下降。单击 "是 "继续,或单击 "否 "再次调整设置,减少对系统资源的压力。

事件查看器自定义视图资源警告

4.给 "视图 "一个 命名 描述 如果你计划创建大量视图,并希望很好地组织这些视图,可以选择在自定义视图下创建一个新文件夹。

事件查看器自定义视图名称

如何清除事件查看器日志历史记录

我从来没有清理过我电脑上的事件查看器日志,但如果你觉得这样能解决任何问题,有一个快速删除任何事件类别日志的方法。

1.从左侧树形菜单中选择所需的事件日志文件夹。

2.右键单击文件夹名称,选择 清除日志... 选择。

窗口事件查看器清除日志

3.您将看到一个选项,使用 EVTX 格式将日志导出到您选择的文件夹中的 EVTX 扩展文件。 导出后会对事件查看器日志进行清理,也可以选择直接清除所有内容。

窗口事件查看器清除日志警告

然后,可以通过界面右侧的操作栏或事件列表上下文菜单,将事件列表轻松导入到同一台电脑或另一台电脑上的事件查看器中。

如何将 Windows 事件查看器日志导出到文件

有趣的是,你可以将事件查看器事件导出到文件中,然后在保存事件的同一台电脑或另一台电脑上打开。这样,如果你觉得自己搞不清楚发生了什么,就可以将文件发送给别人,以便排除故障。

Windows 事件查看器以 EVTX 扩展格式导出日志。具体方法如下

1.从左侧菜单中选择所需的事件文件夹。

2.右键单击文件夹末端,选择 将所有活动保存为... 选择。

事件查看器将所有事件导出为

3.选择文件名和存储导出日志的位置。

4.这时会出现一个警告窗口,要求你选择多语言显示信息。这样,如果您尝试在安装了不同 Windows 语言的电脑上查看文件,就不会出现任何显示问题。

就我而言,我只能在机器上已安装的两种语言中进行选择:英语和罗马尼亚语。

输出几乎是瞬时的,甚至可以输出数千个事件。

如何从 EVTX 事件查看器日志文件中查看日志

现在,如果您想查看日志文件怎么办?在研究这篇文章时,我试图寻找一个导入按钮。幸运的是,这个过程要简单得多:

1.按 Win + E 打开文件资源管理器。

2.导航至保存事件查看器导出文件的文件夹。

事件查看器导出的事件文件

3.双击扩展名为 EVTX 的文件。

4.事件查看器将自动启动,并出现一个新文件夹,名为 保存的日志.你会在其中找到一个子文件夹,其名称与导出文件名相同,但去掉了扩展名。

您可以像浏览其他默认文件夹一样浏览该文件夹。

事件查看器 查看保存的日志

即使关闭了事件查看器,这些导入的事件也会保留下来。如果您不再需要它们,只需右键单击任何已导入的子文件夹并选择 删除 选择。

事件查看器中的危急和错误级别日志并非都是坏日志

有一条不成文的规定:如果 Windows 机器运行正常,就不必担心事件查看器。即使你看到危急和错误级别的事件,也很有可能不必惊慌。

我发现,当我的电脑死机或某个应用程序拒绝运行,并且不显示任何我可以用于故障排除的错误信息时,事件查看器就会派上用场。

这时,我就会打开事件查看器日志,试图找出问题的根源。试一试,你会惊奇地发现,事件查看器能让你免于因为不知道发生了什么而揪头发好几个小时。

同时,也不要期待奇迹出现。问题可能比事件查看器日志所显示的更严重。总之,这只是另一个可以用来修复 Windows 电脑的工具。

阿凡达为 Ionuț-Alexandru Popa
我是一名作家,也是 BinaryFork 的主编。我热衷于技术、科学、太空探索和电影。20 多年前,我从计算机科学专业毕业后,开始撰写科技方面的文章。
想要更聪明地工作,而不是更辛苦地工作?加入我们的免费时事通讯
学习日常使用的技巧,节省时间。您还将收到一份包含 Windows 11 必备快捷键的 PDF 文件。
给我报名!
我们想听听你的意见:

您的电子邮箱地址不会被公开。 必填项已用*标注

我们的读者欣赏激烈的辩论,只要他们保持礼貌,所以他们要求你尊重,即使你不完全同意他们的观点。谢谢!

我们网站上的书面内容是免费提供的,因为我们展示的是广告。请支持我们的努力,当您访问我们的网站时,请停用您的AdBlocker。谢谢您!
加入我们的免费时事通讯,了解更快完成任务的电脑技巧
每位订阅者都会收到一份包含 Windows 11 必备键盘快捷键的 PDF 文件。
我想加入!