Windows 事件日志是记录系统事件和错误信息的宝库。可以帮助你识别和解决各种问题,例如应用程序崩溃、系统错误和安全审核等。
这些日志文件位于C:windowssystem32config
路径下,但不支持使用文本编辑器打开。为了方便查看,Windows 提供了两个实用工具:
- 事件查看器:查看和管理 Windows 事件日志的默认工具。
- 可靠性监视器:以更直观的方式展示事件日志和系统性能数据的工具。
这两个工具都能帮助你分析 Windows 上的各种错误和警告,如果你遇到应用程序频繁崩溃或蓝屏死机(BSOD)问题,它们可以辅助你查找问题根源。
接下来,我们将介绍如何使用「事件查看器」和「可靠性监视器」来识别和理解各种问题。
什么是 Windows 事件日志
Windows 事件日志是记录系统事件的文件,涵盖了应用程序错误、系统错误和安全事件等。通过这些日志,我们可以追溯问题发生的原因,了解计算机的健康状况,以及排除故障。
比如系统崩溃时,Windows 就会创建一个日志来记录崩溃原因。
有时候,错误信息很直观,可以一目了然地帮助我们解决问题(完结撒花🎉)。但偶尔,却只有一个错误代码,例如0xC000021A
(一脸懵X😳)。这就需要我们通过查询 Microsoft 知识库、上网进一步搜索,或咨询系统工程师来找到详细的解决方法。
事件日志通常包括以下这些信息:
- 日志名称:事件所属的类型。
- 来源:产生事件的应用或组件。
- 事件 ID:用于识别具体事件的编号。
- 级别:事件的严重程度,比如「信息」、「警告」和「错误」等。
- 用户:事件发生时的用户账户。
- 操作代码:也叫 OpCode,记录触发事件时所执行的操作。
- 记录时间:事件发生的具体时间。
- 任务类别:提供事件更多细节的分类。
- 关键字:用于分类事件的关键词,常见的有「经典」。
- 计算机:记录事件的计算机名称。
事件查看器中的常用信息
Windows 事件日志的类型和类别
了解 Windows 事件日志的类型和类别,是理解和分析系统错误的第一步。掌握这些知识,能够帮助你快速定位问题根源,有效解决系统故障。
事件日志类型
根据事件的重要性,事件日志可以分为以下5 种类型:
事件类型 | 描述 | 严重程度 | 示例 |
---|---|---|---|
信息 | 记录正常运行的事件 | 低 | 服务启动成功 |
警告 | 提示潜在问题的事件 | 中等 | 磁盘空间不足 |
错误 | 表示出现严重问题的事件 | 高 | 系统崩溃 |
审核成功 | 记录安全审核成功的事件 | 低 | 成功登录 |
审核失败 | 记录安全审核失败过的事件 | 中等 | 无法访问网络资源 |
我们应该特别关注「警告」和「错误」类型的事件日志,它们通常和系统故障紧密相关。
事件日志类别
事件日志还根据来源和内容分为以下几个类别:
事件类别 | 描述 | 示例 |
---|---|---|
应用程序 | 记录应用程序相关的事件 | 应用程序启动失败、应用程序崩溃 |
安全 | 记录系统安全相关的事件 | 登录尝试、文件访问、权限变更 |
系统 | 记录系统内核、驱动程序等相关的事件 | 内核错误、硬件故障、服务启动失败 |
安装 | 记录 Windows 组件、「Windows 更新」安装相关的事件 | 组件安装成功、更新下载失败 |
转发的事件 | 从其他设备转发过来的事件日志 | 远程服务器登录失败、网络连接中断 |
了解这些类别有助于在出现问题时迅速定位相关日志,缩小排查范围。
方法 1:使用 Windows 事件查看器
在「事件查看器」中,可以查看系统中记录的所有事件日志。操作步骤如下:
打开 Windows 事件查看器
1使用Windows + R
快捷键打开「运行」对话框,执行eventvwr.msc
打开事件查看器。
2在左侧导航栏,展开「Windows 日志」。
3选择你想要查看的日志类别。
选择日志类别
查看事件
在中间窗格中滚动日志,找到并双击事件,即可查看详细信息。
双击查看事件属性
过滤事件
如果日志太多,可以使用过滤器来快速筛选有用信息:
1在右侧窗格中,点击「筛选当前日志」。
2根据需要选择过滤条件,例如:
- 记录时间:事件发生的时间范围。
- 事件级别:事件的严重程度,例如信息、警告或错误等。
- 事件 ID:指定事件的代码(Event ID)。
3点击「确定」应用过滤器。
例如,要筛选出最近 30 天 Windows 系统关机、重启或注销的记录,可以使用以下过滤条件:
1在日志类别是选择「系统」,点击「筛选当前日志」
2在「记录时间」中选择「近 30 天」,在「事件 ID」中填写1074
。
Event ID:1074 是关于 Windows 系统关机、重启或注销的事件日志记录。
筛选指定事件
3点击「确定」之后,就可以在结果中看到当前 Windows 最近 30 天内的注销、关机和重启历史记录。
查看筛选结果
创建和管理自定义视图
如果你要持续关注某个问题,又不想重复设置筛选条件,可以创建一个自定义视图:
1在右侧窗格中,点击「创建自定义视图」。
2在「按日志」的下拉列表中,勾选要关注的日志类别。
创建自定义视图
3选择「事件级别」,点击「确定」。
4为自定义视图命名,再次点击 确定。
- 如果需要调整自定义视图的筛选条件:可以右键点击该视图,选择「属性」>「编辑筛选器」进行修改。
- 当不再需要某个自定义视图时:可以右键点击该视图,选择「删除」即可轻松移除。
方法 2:使用 Windows 可靠性监视器
可靠性监视器会以时间轴(按天或周)的方式展示事件,帮助你直观地了解可能对系统可靠性和性能造成影响的错误和问题。它虽不如「事件查看器」那样详尽,但在查看关键错误日志方面更为直接。
打开 Windows 可靠性监视器
1使用Windows + R
快捷键打开「运行」对话框,执行control
打开控制面板。
2依次点击「系统和安全」>「安全和维护」>「查看可靠性历史记录」。
点击「查看可靠性历史记录」
查看事件
1在「查看方式」旁边,选择按「天」或「周」查看,然后点击日期列。
使用 Windows 可靠性监视器
2双击底部的条目,可以查看事件的详细信息。
查看事件详细信息
给普通用户的一些经验之谈
区分严重程度级别
凡事都有个轻重缓急。在面对 Windows 系统问题,我们首先要区分严重程度,做到心中有数,以便采取相应的措施:
- 严重的问题可能不紧急:有些问题虽然严重,但并不影响当下工作或生活,可以稍后处理。例如,凌晨 2 点,全市 AMT 全部宕机了,大半夜的没几个人存取钱,这个问题不太紧急,但相当严重。
- 紧急的问题可能不严重:有些问题看似不严重,但可能会影响到重要工作或活动,需要紧急处理。例如,你告诉工程师 Powerpoint 无法打开了,这个问题看似不严重。但你即将在国际会议上发表学术报告,这就相当紧急了。专业的工程师不会花时间去解决 Powerpoint 问题,而是马上给你提供备机,优先确保报告顺利进行。
学会查看事件日志
事件日志就像 Windows 中的「黑匣子」,记录了系统运行过程中的所有事件和错误信息。学会解读这些日志,可以帮助你快速识别和解决各种问题,而不是一遇到问题就重启、重装这几板斧。在事件日志中应该主要关注:
- 记录时间:在咨询一个问题时,工程师通常会问你之前做了什么?绝大多数用户的回答是:我什么都没做呀(那才有鬼了👻)。而事件日志记录了每个事件发生的具体时间和日期,方便你追踪问题发生的时间和前后关联。
- 来源:为了防止「头痛医头」,事件来源指明了生成该事件的应用程序或系统组件,可以帮助你快速定位问题所在的部分。
- 事件 ID:每个事件都有一个唯一标识符,称为 Event ID。你可以根据 Event ID 在线搜索具体的问题和解决方案。
积极利用在线资源
为了更深入地理解事件日志和排除问题,你应该积极利用以下在线资源:
- Microsoft 知识库:提供了有关事件日志的详细信息和解决方案。
- Microsoft 支持社区:可以就特定事件 ID 和错误代码寻求帮助。
希望本文能够帮助你更好地理解和使用 Windows 事件日志,让你的电脑更加稳定流畅!