故障排查利器:深入解析 Windows 事件日志

2024年 3月 10日 177.9k 0

Windows 事件日志是记录系统事件和错误信息的宝库。可以帮助你识别和解决各种问题,例如应用程序崩溃、系统错误和安全审核等。

这些日志文件位于C:windowssystem32config路径下,但不支持使用文本编辑器打开。为了方便查看,Windows 提供了两个实用工具:

  • 事件查看器:查看和管理 Windows 事件日志的默认工具。
  • 可靠性监视器:以更直观的方式展示事件日志和系统性能数据的工具。

这两个工具都能帮助你分析 Windows 上的各种错误和警告,如果你遇到应用程序频繁崩溃或蓝屏死机(BSOD)问题,它们可以辅助你查找问题根源。

接下来,我们将介绍如何使用「事件查看器」和「可靠性监视器」来识别和理解各种问题。

什么是 Windows 事件日志

Windows 事件日志是记录系统事件的文件,涵盖了应用程序错误、系统错误和安全事件等。通过这些日志,我们可以追溯问题发生的原因,了解计算机的健康状况,以及排除故障。

比如系统崩溃时,Windows 就会创建一个日志来记录崩溃原因。

有时候,错误信息很直观,可以一目了然地帮助我们解决问题(完结撒花🎉)。但偶尔,却只有一个错误代码,例如0xC000021A(一脸懵X😳)。这就需要我们通过查询 Microsoft 知识库、上网进一步搜索,或咨询系统工程师来找到详细的解决方法。

事件日志通常包括以下这些信息:

  • 日志名称:事件所属的类型。
  • 来源:产生事件的应用或组件。
  • 事件 ID:用于识别具体事件的编号。
  • 级别:事件的严重程度,比如「信息」、「警告」和「错误」等。
  • 用户:事件发生时的用户账户。
  • 操作代码:也叫 OpCode,记录触发事件时所执行的操作。
  • 记录时间:事件发生的具体时间。
  • 任务类别:提供事件更多细节的分类。
  • 关键字:用于分类事件的关键词,常见的有「经典」。
  • 计算机:记录事件的计算机名称。

事件查看器中的常用信息

Windows 事件日志的类型和类别

了解 Windows 事件日志的类型和类别,是理解和分析系统错误的第一步。掌握这些知识,能够帮助你快速定位问题根源,有效解决系统故障。

事件日志类型

根据事件的重要性,事件日志可以分为以下5 种类型:

事件类型 描述 严重程度 示例
信息 记录正常运行的事件 服务启动成功
警告 提示潜在问题的事件 中等 磁盘空间不足
错误 表示出现严重问题的事件 系统崩溃
审核成功 记录安全审核成功的事件 成功登录
审核失败 记录安全审核失败过的事件 中等 无法访问网络资源

我们应该特别关注「警告」和「错误」类型的事件日志,它们通常和系统故障紧密相关。

事件日志类别

事件日志还根据来源和内容分为以下几个类别:

事件类别 描述 示例
应用程序 记录应用程序相关的事件 应用程序启动失败、应用程序崩溃
安全 记录系统安全相关的事件 登录尝试、文件访问、权限变更
系统 记录系统内核、驱动程序等相关的事件 内核错误、硬件故障、服务启动失败
安装 记录 Windows 组件、「Windows 更新」安装相关的事件 组件安装成功、更新下载失败
转发的事件 从其他设备转发过来的事件日志 远程服务器登录失败、网络连接中断

了解这些类别有助于在出现问题时迅速定位相关日志,缩小排查范围。

方法 1:使用 Windows 事件查看器

在「事件查看器」中,可以查看系统中记录的所有事件日志。操作步骤如下:

打开 Windows 事件查看器

1使用Windows + R快捷键打开「运行」对话框,执行eventvwr.msc打开事件查看器。

2在左侧导航栏,展开「Windows 日志」。

3选择你想要查看的日志类别。

选择日志类别

查看事件

在中间窗格中滚动日志,找到并双击事件,即可查看详细信息。

双击查看事件属性

过滤事件

如果日志太多,可以使用过滤器来快速筛选有用信息:

1在右侧窗格中,点击「筛选当前日志」。

2根据需要选择过滤条件,例如:

  • 记录时间:事件发生的时间范围。
  • 事件级别:事件的严重程度,例如信息、警告或错误等。
  • 事件 ID:指定事件的代码(Event ID)。

3点击「确定」应用过滤器。

例如,要筛选出最近 30 天 Windows 系统关机、重启或注销的记录,可以使用以下过滤条件:

1在日志类别是选择「系统」,点击「筛选当前日志」

2在「记录时间」中选择「近 30 天」,在「事件 ID」中填写1074

Event ID:1074 是关于 Windows 系统关机、重启或注销的事件日志记录。

筛选指定事件

3点击「确定」之后,就可以在结果中看到当前 Windows 最近 30 天内的注销、关机和重启历史记录。

查看筛选结果

创建和管理自定义视图

如果你要持续关注某个问题,又不想重复设置筛选条件,可以创建一个自定义视图:

1在右侧窗格中,点击「创建自定义视图」。

2在「按日志」的下拉列表中,勾选要关注的日志类别。

创建自定义视图

3选择「事件级别」,点击「确定」。

4为自定义视图命名,再次点击 确定。

  • 如果需要调整自定义视图的筛选条件:可以右键点击该视图,选择「属性」>「编辑筛选器」进行修改。
  • 当不再需要某个自定义视图时:可以右键点击该视图,选择「删除」即可轻松移除。

方法 2:使用 Windows 可靠性监视器

可靠性监视器会以时间轴(按天或周)的方式展示事件,帮助你直观地了解可能对系统可靠性和性能造成影响的错误和问题。它虽不如「事件查看器」那样详尽,但在查看关键错误日志方面更为直接。

打开 Windows 可靠性监视器

1使用Windows + R快捷键打开「运行」对话框,执行control打开控制面板。

2依次点击「系统和安全」>「安全和维护」>「查看可靠性历史记录」。

点击「查看可靠性历史记录」

查看事件

1在「查看方式」旁边,选择按「天」或「周」查看,然后点击日期列。

使用 Windows 可靠性监视器

2双击底部的条目,可以查看事件的详细信息。

查看事件详细信息

给普通用户的一些经验之谈

区分严重程度级别

凡事都有个轻重缓急。在面对 Windows 系统问题,我们首先要区分严重程度,做到心中有数,以便采取相应的措施:

  • 严重的问题可能不紧急:有些问题虽然严重,但并不影响当下工作或生活,可以稍后处理。例如,凌晨 2 点,全市 AMT 全部宕机了,大半夜的没几个人存取钱,这个问题不太紧急,但相当严重。
  • 紧急的问题可能不严重:有些问题看似不严重,但可能会影响到重要工作或活动,需要紧急处理。例如,你告诉工程师 Powerpoint 无法打开了,这个问题看似不严重。但你即将在国际会议上发表学术报告,这就相当紧急了。专业的工程师不会花时间去解决 Powerpoint 问题,而是马上给你提供备机,优先确保报告顺利进行。

学会查看事件日志

事件日志就像 Windows 中的「黑匣子」,记录了系统运行过程中的所有事件和错误信息。学会解读这些日志,可以帮助你快速识别和解决各种问题,而不是一遇到问题就重启、重装这几板斧。在事件日志中应该主要关注:

  • 记录时间:在咨询一个问题时,工程师通常会问你之前做了什么?绝大多数用户的回答是:我什么都没做呀(那才有鬼了👻)。而事件日志记录了每个事件发生的具体时间和日期,方便你追踪问题发生的时间和前后关联。
  • 来源:为了防止「头痛医头」,事件来源指明了生成该事件的应用程序或系统组件,可以帮助你快速定位问题所在的部分。
  • 事件 ID:每个事件都有一个唯一标识符,称为 Event ID。你可以根据 Event ID 在线搜索具体的问题和解决方案。

积极利用在线资源

为了更深入地理解事件日志和排除问题,你应该积极利用以下在线资源:

  • Microsoft 知识库:提供了有关事件日志的详细信息和解决方案。
  • Microsoft 支持社区:可以就特定事件 ID 和错误代码寻求帮助。

希望本文能够帮助你更好地理解和使用 Windows 事件日志,让你的电脑更加稳定流畅!

相关文章

服务器端口转发,带你了解服务器端口转发
服务器开放端口,服务器开放端口的步骤
产品推荐:7月受欢迎AI容器镜像来了,有Qwen系列大模型镜像
如何使用 WinGet 下载 Microsoft Store 应用
百度搜索:蓝易云 – 熟悉ubuntu apt-get命令详解
百度搜索:蓝易云 – 域名解析成功但ping不通解决方案

发布评论