事件查看器是排查Windows 11错误、分析崩溃原因的重要工具,支持通过Win+X菜单、运行命令、搜索等方式打开;可浏览应用程序、安全、系统等日志,筛选错误或警告事件,导出为.evtx文件用于分析;PowerShell命令可查询开关机记录(如ID 6005/6008);还可调整日志属性增大容量并设置覆盖策略以保留历史数据。
如果您需要排查Windows 11系统中的错误、查看启动记录或分析应用程序崩溃的原因,事件查看器是内置的强大工具。它能提供详细的日志信息,帮助您定位问题根源。
本文运行环境:Dell XPS 13,Windows 11 家庭版。
一、打开事件查看器的多种方法
访问事件查看器有多种快捷方式,您可以根据习惯选择最方便的一种。
1、同时按下键盘上的 Win + X 组合键,在弹出的菜单中选择“事件查看器”。
2、右键点击任务栏左下角的“开始”按钮,在展开的菜单中直接点击“事件查看器”选项。
3、按下 Win + R 打开“运行”对话框,输入 eventvwr.msc 后按回车键确认。
4、在任务栏搜索框中输入“事件查看器”,从搜索结果中点击打开对应的应用程序。
二、浏览和筛选系统日志
事件查看器将日志分类存储,通过筛选可以快速定位到关键信息,避免在大量日志中手动查找。
1、在事件查看器左侧导航栏中,展开“Windows 日志”节点,可以看到“应用程序”、“安全”、“系统”等主要日志类别。
2、点击“系统”日志,右侧主窗口会显示所有与操作系统相关的事件记录。
3、为了查找特定类型的事件,在右侧“操作”面板中点击“筛选当前日志”。
4、在“事件级别”中勾选“错误”或“警告”,或者在“事件ID”框内输入特定ID(例如6005代表开机,6008代表异常关机),然后点击“确定”应用筛选。
三、导出日志文件以供分析
当需要将日志分享给技术支持人员或进行离线分析时,可以将日志导出为文件保存。
1、在左侧日志列表中,右键点击您想要导出的日志类别,例如“系统”。
2、从上下文菜单中选择“将所有事件另存为”。
3、在弹出的文件保存窗口中,选择目标路径,输入文件名,并确保文件格式选择为 .evtx 格式以保留完整信息。
4、点击“保存”按钮,日志文件即被创建并存储在指定位置。
四、使用PowerShell命令获取开关机记录
对于熟悉命令行的用户,PowerShell提供了更灵活的日志查询方式,尤其适合批量提取数据。
1、在任务栏搜索框中输入“PowerShell”,右键选择“以管理员身份运行”。
2、在PowerShell窗口中粘贴并执行以下命令,该命令会查询系统日志中所有与开关机相关的事件:
Get-WinEvent -LogName System | Where-Object { $_.Id -eq 6005 -or $_.Id -eq 6006 -or $_.Id -eq 6008 -or $_.Id -eq 1074 } | Select-Object TimeCreated, Id, Message | Sort-Object TimeCreated -Descending | Format-Table -AutoSize
3、执行后,屏幕上将按时间倒序列出所有开机(6005)、正常关机(6006)、意外断电(6008)和计划重启(1074)的详细记录。
五、调整日志属性防止旧记录被覆盖
默认情况下,日志文件大小有限,当达到上限时旧事件会被新事件覆盖。增大日志容量可保留更长时间的历史记录。
1、在事件查看器左侧,右键点击“Windows 日志”下的“系统”。
2、从菜单中选择“属性”以打开配置窗口。
3、在“最大日志大小”输入框中,将其值增加至更大的数值,例如 10240 KB 或更高。
4、在“当达到最大日志大小时”选项区域,选择“按需覆盖事件”,这样只有在必要时才会清除旧事件。
