Windows 事件日志是記錄系統(tǒng)事件和錯誤信息的寶庫。可以幫助你識別和解決各種問題，例如應(yīng)用程序崩潰、系統(tǒng)錯誤和安全審核等。

這些日志文件位于C:\windows\system32\config\路徑下，但不支持使用文本編輯器打開。為了方便查看，Windows 提供了兩個實用工具：

• 事件查看器：查看和管理 Windows 事件日志的默認(rèn)工具。
• 可靠性監(jiān)視器：以更直觀的方式展示事件日志和系統(tǒng)性能數(shù)據(jù)的工具。

這兩個工具都能幫助你分析 Windows 上的各種錯誤和警告，如果你遇到應(yīng)用程序頻繁崩潰或藍屏死機（BSOD）問題，它們可以輔助你查找問題根源。

接下來，我們將介紹如何使用「事件查看器」和「可靠性監(jiān)視器」來識別和理解各種問題。

什么是 Windows 事件日志

Windows 事件日志是記錄系統(tǒng)事件的文件，涵蓋了應(yīng)用程序錯誤、系統(tǒng)錯誤和安全事件等。通過這些日志，我們可以追溯問題發(fā)生的原因，了解計算機的健康狀況，以及排除故障。

比如系統(tǒng)崩潰時，Windows 就會創(chuàng)建一個日志來記錄崩潰原因。

有時候，錯誤信息很直觀，可以一目了然地幫助我們解決問題（完結(jié)撒花）。但偶爾，卻只有一個錯誤代碼，例如0xC000021A（一臉懵X）。這就需要我們通過查詢 Microsoft 知識庫、上網(wǎng)進一步搜索，或咨詢系統(tǒng)工程師來找到詳細的解決方法。

事件日志通常包括以下這些信息：

• 日志名稱：事件所屬的類型。
• 來源：產(chǎn)生事件的應(yīng)用或組件。
• 事件 ID：用于識別具體事件的編號。
• 級別：事件的嚴(yán)重程度，比如「信息」、「警告」和「錯誤」等。
• 用戶：事件發(fā)生時的用戶賬戶。
• 操作代碼：也叫 OpCode，記錄觸發(fā)事件時所執(zhí)行的操作。
• 記錄時間：事件發(fā)生的具體時間。
• 任務(wù)類別：提供事件更多細節(jié)的分類。
• 關(guān)鍵字：用于分類事件的關(guān)鍵詞，常見的有「經(jīng)典」。
• 計算機：記錄事件的計算機名稱。

事件查看器中的常用信息

Windows 事件日志的類型和類別

了解 Windows 事件日志的類型和類別，是理解和分析系統(tǒng)錯誤的第一步。掌握這些知識，能夠幫助你快速定位問題根源，有效解決系統(tǒng)故障。

事件日志類型

根據(jù)事件的重要性，事件日志可以分為以下5 種類型：

我們應(yīng)該特別關(guān)注「警告」和「錯誤」類型的事件日志，它們通常和系統(tǒng)故障緊密相關(guān)。

事件日志類別

事件日志還根據(jù)來源和內(nèi)容分為以下幾個類別：

了解這些類別有助于在出現(xiàn)問題時迅速定位相關(guān)日志，縮小排查范圍。

方法 1：使用 Windows 事件查看器

在「事件查看器」中，可以查看系統(tǒng)中記錄的所有事件日志。操作步驟如下：

打開 Windows 事件查看器

1、使用Windows + R快捷鍵打開「運行」對話框，執(zhí)行eventvwr.msc打開事件查看器。

2、在左側(cè)導(dǎo)航欄，展開「Windows 日志」。

3、選擇你想要查看的日志類別。

選擇日志類別

查看事件

在中間窗格中滾動日志，找到并雙擊事件，即可查看詳細信息。

雙擊查看事件屬性

過濾事件

如果日志太多，可以使用過濾器來快速篩選有用信息：

1、在右側(cè)窗格中，點擊「篩選當(dāng)前日志」。

2、根據(jù)需要選擇過濾條件，例如：

• 記錄時間：事件發(fā)生的時間范圍。
• 事件級別：事件的嚴(yán)重程度，例如信息、警告或錯誤等。
• 事件 ID：指定事件的代碼（Event ID）。

3、點擊「確定」應(yīng)用過濾器。

例如，要篩選出最近 30 天 Windows 系統(tǒng)關(guān)機、重啟或注銷的記錄，可以使用以下過濾條件：

1、在日志類別是選擇「系統(tǒng)」，點擊「篩選當(dāng)前日志」

2、在「記錄時間」中選擇「近 30 天」，在「事件 ID」中填寫1074。

Event ID：1074 是關(guān)于 Windows 系統(tǒng)關(guān)機、重啟或注銷的事件日志記錄。

篩選指定事件

3、點擊「確定」之后，就可以在結(jié)果中看到當(dāng)前 Windows 最近 30 天內(nèi)的注銷、關(guān)機和重啟歷史記錄。

查看篩選結(jié)果

創(chuàng)建和管理自定義視圖

如果你要持續(xù)關(guān)注某個問題，又不想重復(fù)設(shè)置篩選條件，可以創(chuàng)建一個自定義視圖：

1、在右側(cè)窗格中，點擊「創(chuàng)建自定義視圖」。

2、在「按日志」的下拉列表中，勾選要關(guān)注的日志類別。

創(chuàng)建自定義視圖

3、選擇「事件級別」，點擊「確定」。

4、為自定義視圖命名，再次點擊 確定。

如果需要調(diào)整自定義視圖的篩選條件：可以右鍵點擊該視圖，選擇「屬性」>「編輯篩選器」進行修改。當(dāng)不再需要某個自定義視圖時：可以右鍵點擊該視圖，選擇「刪除」即可輕松移除。

方法 2：使用 Windows 可靠性監(jiān)視器

可靠性監(jiān)視器會以時間軸（按天或周）的方式展示事件，幫助你直觀地了解可能對系統(tǒng)可靠性和性能造成影響的錯誤和問題。它雖不如「事件查看器」那樣詳盡，但在查看關(guān)鍵錯誤日志方面更為直接。

打開 Windows 可靠性監(jiān)視器

1、使用Windows + R快捷鍵打開「運行」對話框，執(zhí)行control打開控制面板。

2、依次點擊「系統(tǒng)和安全」>「安全和維護」>「查看可靠性歷史記錄」。

點擊「查看可靠性歷史記錄」

查看事件

1、在「查看方式」旁邊，選擇按「天」或「周」查看，然后點擊日期列。

使用 Windows 可靠性監(jiān)視器

2、雙擊底部的條目，可以查看事件的詳細信息。

查看事件詳細信息

給普通用戶的一些經(jīng)驗之談

區(qū)分嚴(yán)重程度級別

凡事都有個輕重緩急。在面對 Windows 系統(tǒng)問題，我們首先要區(qū)分嚴(yán)重程度，做到心中有數(shù)，以便采取相應(yīng)的措施：

• 嚴(yán)重的問題可能不緊急：有些問題雖然嚴(yán)重，但并不影響當(dāng)下工作或生活，可以稍后處理。例如，凌晨 2 點，全市 AMT 全部宕機了，大半夜的沒幾個人存取錢，這個問題不太緊急，但相當(dāng)嚴(yán)重。
• 緊急的問題可能不嚴(yán)重：有些問題看似不嚴(yán)重，但可能會影響到重要工作或活動，需要緊急處理。例如，你告訴工程師 Powerpoint 無法打開了，這個問題看似不嚴(yán)重。但你即將在國際會議上發(fā)表學(xué)術(shù)報告，這就相當(dāng)緊急了。專業(yè)的工程師不會花時間去解決 Powerpoint 問題，而是馬上給你提供備機，優(yōu)先確保報告順利進行。

學(xué)會查看事件日志

事件日志就像 Windows 中的「黑匣子」，記錄了系統(tǒng)運行過程中的所有事件和錯誤信息。學(xué)會解讀這些日志，可以幫助你快速識別和解決各種問題，而不是一遇到問題就重啟、重置和重裝這三板斧。在事件日志中應(yīng)該主要關(guān)注：

• 記錄時間：在咨詢一個問題時，工程師通常會問你之前做了什么？絕大多數(shù)用戶的回答是：我什么都沒做呀（那才有鬼了）。而事件日志記錄了每個事件發(fā)生的具體時間和日期，方便你追蹤問題發(fā)生的時間和前后關(guān)聯(lián)。
• 來源：為了防止「頭痛醫(yī)頭」，事件來源指明了生成該事件的應(yīng)用程序或系統(tǒng)組件，可以幫助你快速定位問題所在的部分。
• 事件 ID：每個事件都有一個唯一標(biāo)識符，稱為 Event ID。你可以根據(jù) Event ID 在線搜索具體的問題和解決方案。

積極利用在線資源

為了更深入地理解事件日志和排除問題，你應(yīng)該積極利用以下在線資源：

• Microsoft 知識庫：提供了有關(guān)事件日志的詳細信息和解決方案。
• Microsoft 支持社區(qū)：可以就特定事件 ID 和錯誤代碼尋求幫助。

希望本文能夠幫助你更好地理解和使用 Windows 事件日志，讓你的電腦更加穩(wěn)定流暢！

最新評論