- Windows 事件查看器是最被低估的工具之一,它可以帮助你诊断 Windows 计算机并排除故障。
- Windows 事件查看器是操作系统记录操作的日志。
- 了解如何使用事件查看器日志来排除和修复 Windows 中的软件和硬件问题。
很多电脑问题都不会导致明显的错误信息,您可以在最喜欢的搜索引擎中快速查找。如果你的电脑出现故障,却没有提示你发生了什么,那就真的很难 故障排除与修复 问题的根源。
是时候深入挖掘了。最好的实用工具莫过于 Windows 事件查看器 我能想到的。让我们开始吧。
目 录
什么是 Windows 事件查看器?
大多数 Windows 服务和程序都会定期向 Windows 日志添加各种信息。可以把它想象成日记。使用 Windows 事件查看器系统实用程序可以轻松访问、过滤和读取事件日志。
Windows 预装了事件查看器,非技术人员也能轻松使用。Windows 事件查看器是排查 Windows 系统故障的强大工具。
Windows 事件日志中存储的信息类型
Windows 事件查看器不仅包括关键错误日志,还包括由以下程序添加的其他类型信息 (1) 已安装的应用程序、 (2) 安全服务,或 (3) 系统本身。
根据日志内容和触发事件的不同,事件日志有不同的事件重要性级别:
- 关键
- 错误
- 警告
- 信息
- 冗长
每个事件日志都包含有关其来源、启动事件的应用程序、程序或服务、与事件相关的用户和计算机、事件 ID、便于筛选的关键字、事件时间戳的信息,以及实际发生情况的文字描述。
事件描述可能是人类可读的,但绝不是,不要指望读完后会有灵光一现。要想成功解决您的问题,谷歌搜索内容仍然是最好的选择。
如何打开 Windows 事件查看器
让我们来看看打开 Windows 事件查看器实用程序的几种最快方法:
这就是我在 Windows 中启动大多数东西的方式:我在开始菜单中搜索它们。
- 点击进入 开始菜单 或按 Win 键。
- 类型 事件查看器 来搜索小工具。
- 点击第一个结果打开。
另一种快速方法涉及 "开始 "菜单按钮后面的隐藏菜单。在 Windows 中,大多数东西都可以通过右键单击来显示上下文菜单,这并不神秘,但 WinX 菜单是一个相当新的功能,所以大多数人都不知道它。
- 右键单击 "开始 "菜单按钮或按下 Win + X 快捷键,即出现 WinX 菜单。
- 左键单击事件查看器条目。
使用运行命令打开事件查看器
如果您习惯使用 "运行 "对话框,那么要使用 "运行 "命令打开 Even Viewer,您必须这样做。
- 按下 Win + R 快捷键,打开 "运行 "对话框菜单。
- 类型 事件然后按 Enter 键打开 Windows 事件查看器。
从 CMD(命令提示符)打开 Windows 事件查看器
同样的命令可用于命令提示符、PowerShell 和 Windows 终端:
- 用 Win 键打开 "开始 "菜单。
- 搜索 命令提示符, PowerShell,或 Windows终端 并打开第一个结果。
- 在命令行界面键入 事件随后按 Enter 键执行命令,打开 Windows 事件查看器。
如何使用事件查看器日志
既然我们已经了解了事件查看器是什么,它有什么功能,下面我们就来讨论一下程序界面,以及如何利用它为你带来好处。别担心,因为它非常直观。
每次打开应用程序,你都会看到这样的内容:中间一栏是记录事件的摘要,左边是导航树,右边是一系列操作。
您将使用 (1) 左侧菜单 导航到事件类别。默认情况下,这些事件分为四类:
- 自定义视图 - 根据特定条件过滤的事件。您将在本文后面看到如何将自定义视图添加到已有的 "管理事件 "自定义视图中。
- Windows 日志 - 由 Windows 添加的条目,按应用程序、安全、设置、系统和转发事件分组。
- 应用程序和服务日志 - 各种已安装程序的日志。
- 订阅 - 如果您的电脑配置了从其他电脑收集事件的功能,日志就会显示在这里。
- 保存的日志 - 只有在同一台计算机或另一台 Windows PC 上导入用事件查看器导出的日志文件后,本部分才会显示。
导航到左侧菜单的某个部分后,中间一栏会刷新并显示 (2) 活动一览表 按日期和时间排序和 (3) 当前所选事件的详细信息 从之前的列表中删除。
右侧面板包含右键单击事件文件夹或事件条目时可用的操作。
双击事件会在一个单独的弹出窗口中打开其详细信息,该窗口有两个选项卡:常规和详细信息。
如何搜索事件查看器日志
仅在 7 天内,我就记录了 20,000 多个事件。可以想象,如果不能搜索或过滤事件列表,要查找某个特定事件会很困难。
幸运的是,在 Windows 事件查看器中,从左侧树中选择一个事件类别后,就可以轻松做到这一点。
让我们试着寻找 内存 在 Windows 日志 > 系统部分查看相关事件,只是为了好玩。
1.右键单击当前事件文件夹,选择 查找... 打开搜索对话框。
2.一个非常简单的 "查找 "对话窗口就会显示出来,并带有一个文本字段。写下搜索词,然后按查找下一步。
3.如果没有找到与您的搜索查询相关的事件,您会看到这条信息。它会提醒您 日志搜索从列表中当前选定的事件开始,直到列表中的最后一个元素按日期和时间排序。因此,如果您想搜索整个列表,请先选择第一个事件,然后再点击 查找下一个.
4.如果找到与您的搜索词匹配的事件,该事件将自动突出显示,其详细信息将显示在中间栏的底部。
如果这不是您要查找的内容,请单击 "查找下一个 "以查找下一个匹配事件。由于没有计数器,因此无法事先知道搜索会返回多少结果。
如何在事件查看器中过滤当前日志
另一个强大的功能是可以对每个事件类别应用过滤器。关闭事件查看器应用程序后,过滤器会自动重置,以防万一。
1.从左侧菜单中选择所需的事件类别。
2.右键单击文件夹名称,选择 过滤当前日志... 选择。
3.弹出一个窗口。您可以
- 为事件筛选器应用时间范围,从最后一小时到最后 30 天,还可选择自定义范围。
- 根据重要性选择事件级别。
- 选择事件源。
- 选择特定的事件 ID 或 ID 范围。
- 选择关键字
- 选择与事件关联的用户。
- 选择与事件链接的计算机。
4.要重置过滤器,要么关闭事件查看器,要么再次右键单击文件夹并选择 清除过滤器 选择。
如何在 Windows 事件查看器中创建自定义视图
更持久的解决方案是创建自定义视图。即使重新启动 Windows 事件查看器应用程序,这些视图也会显示在自定义视图文件夹中。
1.右键单击自定义视图文件夹,选择 创建 自定义视图... 选择。
2.这看起来很像事件过滤窗口,因为几乎完全相同。唯一的新选项是可以选择偶数日志类别。
选择所有需要的过滤器后,点击确定。
3.如果选择的选项过多,就会出现警告。在性能相当强大的电脑上,你不会遇到任何性能问题。在旧电脑上,事件查看器可能会显示性能下降。单击 "是 "继续,或单击 "否 "再次调整设置,减少对系统资源的压力。
4.给 "视图 "一个 命名 和 描述 如果你计划创建大量视图,并希望很好地组织这些视图,可以选择在自定义视图下创建一个新文件夹。
如何清除事件查看器日志历史记录
我从来没有清理过我电脑上的事件查看器日志,但如果你觉得这样能解决任何问题,有一个快速删除任何事件类别日志的方法。
1.从左侧树形菜单中选择所需的事件日志文件夹。
2.右键单击文件夹名称,选择 清除日志... 选择。
3.您将看到一个选项,使用 EVTX 格式将日志导出到您选择的文件夹中的 EVTX 扩展文件。 导出后会对事件查看器日志进行清理,也可以选择直接清除所有内容。
然后,可以通过界面右侧的操作栏或事件列表上下文菜单,将事件列表轻松导入到同一台电脑或另一台电脑上的事件查看器中。
如何将 Windows 事件查看器日志导出到文件
有趣的是,你可以将事件查看器事件导出到文件中,然后在保存事件的同一台电脑或另一台电脑上打开。这样,如果你觉得自己搞不清楚发生了什么,就可以将文件发送给别人,以便排除故障。
Windows 事件查看器以 EVTX 扩展格式导出日志。具体方法如下
1.从左侧菜单中选择所需的事件文件夹。
2.右键单击文件夹末端,选择 将所有活动保存为... 选择。
3.选择文件名和存储导出日志的位置。
4.这时会出现一个警告窗口,要求你选择多语言显示信息。这样,如果您尝试在安装了不同 Windows 语言的电脑上查看文件,就不会出现任何显示问题。
就我而言,我只能在机器上已安装的两种语言中进行选择:英语和罗马尼亚语。
输出几乎是瞬时的,甚至可以输出数千个事件。
如何从 EVTX 事件查看器日志文件中查看日志
现在,如果您想查看日志文件怎么办?在研究这篇文章时,我试图寻找一个导入按钮。幸运的是,这个过程要简单得多:
1.按 Win + E 打开文件资源管理器。
2.导航至保存事件查看器导出文件的文件夹。
3.双击扩展名为 EVTX 的文件。
4.事件查看器将自动启动,并出现一个新文件夹,名为 保存的日志.你会在其中找到一个子文件夹,其名称与导出文件名相同,但去掉了扩展名。
您可以像浏览其他默认文件夹一样浏览该文件夹。
即使关闭了事件查看器,这些导入的事件也会保留下来。如果您不再需要它们,只需右键单击任何已导入的子文件夹并选择 删除 选择。
事件查看器中的危急和错误级别日志并非都是坏日志
有一条不成文的规定:如果 Windows 机器运行正常,就不必担心事件查看器。即使你看到危急和错误级别的事件,也很有可能不必惊慌。
我发现,当我的电脑死机或某个应用程序拒绝运行,并且不显示任何我可以用于故障排除的错误信息时,事件查看器就会派上用场。
这时,我就会打开事件查看器日志,试图找出问题的根源。试一试,你会惊奇地发现,事件查看器能让你免于因为不知道发生了什么而揪头发好几个小时。
同时,也不要期待奇迹出现。问题可能比事件查看器日志所显示的更严重。总之,这只是另一个可以用来修复 Windows 电脑的工具。