Windows系统异常错误可通过事件查看器、PowerShell或wevtutil工具定位:图形界面筛选“错误/严重”事件及指定ID;PowerShell用Get-WinEvent过滤并导出CSV;wevtutil支持命令行导出EVTX日志;还可按来源(如disk、nvlddmkm)筛选硬件相关错误,并导出EVTX文件用于协作分析。
如果您在 Windows 10 或 Windows 11 中遇到系统异常(如蓝屏、服务崩溃、驱动加载失败),这些行为通常会被记录为错误事件并写入系统日志。以下是定位和提取这些错误记录的具体操作方法:
一、通过图形界面打开事件查看器并筛选系统错误
该方法利用 Windows 内置的可视化工具,无需命令行经验,可直观识别红色错误标记并快速聚焦关键条目。
1、按下 Win + R 组合键,调出“运行”对话框。
2、在输入框中键入 eventvwr.msc,按回车键启动事件查看器。
3、在左侧窗格中依次展开 Windows 日志 → 系统,主窗口将显示系统级事件列表。
4、观察“级别”列图标:红色图标代表错误事件,应优先双击查看详细信息。
5、右键点击“系统”日志,选择“筛选当前日志”,在弹出窗口中勾选“错误”和“严重”,并在“包括事件ID”栏输入 41、6008、7031、153、13,点击“确定”完成筛选。
二、使用 PowerShell 快速提取最近系统错误事件
PowerShell 支持结构化查询与条件过滤,能绕过图形界面直接输出纯文本错误记录,适用于快速诊断或脚本复用场景。
1、以管理员身份启动 PowerShell:右键“开始”按钮 → 选择 Windows PowerShell(管理员)。
2、执行以下命令获取系统日志中最近 50 条错误事件:Get-WinEvent -LogName System -MaxEvents 50 | Where-Object {$_.LevelDisplayName -eq "Error"}。
3、若需限定时间范围(例如过去24小时),运行:Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=(Get-Date).AddHours(-24)} | Where-Object {$_.LevelDisplayName -eq "Error"}。
4、导出结果至 CSV 文件便于后续分析:Get-WinEvent -LogName System -MaxEvents 100 | Where-Object {$_.LevelDisplayName -eq "Error"} | Export-Csv C:\System_Errors.csv -NoTypeInformation。
三、通过命令提示符调用 wevtutil 批量导出与文本查询
wevtutil 是 Windows 原生命令行日志工具,适合无图形界面环境或需离线保存完整原始日志的维护场景。
1、以管理员身份运行命令提示符:右键“开始”按钮 → 选择 命令提示符(管理员)。
2、执行 wevtutil.exe el,确认系统日志名称为 System。
3、以纯文本格式显示系统日志最新 30 条记录:wevtutil.exe qe System /f:text /c:30。
4、导出全部系统日志为标准 .evtx 文件:wevtutil.exe epl System C:\Full_System_Log.evtx,该文件可在任意 Windows 设备上用事件查看器打开。
四、定位特定来源的错误事件(如磁盘、显卡驱动)
某些硬件组件(如硬盘、GPU)会通过固定提供程序名称写入错误事件,按来源筛选可精准锁定故障模块。
1、在事件查看器中右键“系统”日志 → 选择“筛选当前日志”。
2、在“事件来源”栏中输入 disk,点击“确定”,即可只显示磁盘子系统相关错误。
3、若怀疑显卡驱动异常,输入 nvlddmkm 或 atikmdag 进行筛选。
4、双击筛选后的任一错误事件,在“详细信息”选项卡中切换至 XML 查看器,可查看完整原始数据字段。
五、导出筛选后的错误日志用于协作分析
将已筛选出的错误事件单独导出为 .evtx 文件,可保留全部元数据(含时间戳、事件ID、描述文本),避免截图或复制导致信息缺失。
1、在事件查看器右侧窗格中,确保已应用错误筛选并仅显示目标事件。
2、右键空白区域 → 选择 将所有事件另存为。
3、在保存对话框中,设置文件名(如 Errors_20260129.evtx),保存类型为 事件查看器日志(.evtx)。
4、点击“保存”,导出完成。该文件可直接发送给技术支持人员或导入其他 Windows 设备进行交叉验证。
