可通过事件查看器、powershell、wevtutil三种方式查看windows系统错误日志:事件查看器适合图形化筛选,powershell支持结构化查询与导出csv,wevtutil可批量导出文本/xml/.evtx格式日志,并需关注id 41、6008、7031等关键事件定位故障。
如果您需要定位Windows系统运行中出现的异常行为或故障根源,系统日志中的错误记录是关键线索。以下是查看并提取这些错误记录的具体操作路径:
一、通过事件查看器图形界面筛选系统错误日志
该方法依赖Windows原生GUI工具,无需编码基础,能直观识别带红色图标标记的错误事件,并支持按时间、事件ID等条件快速聚焦关键条目。
1、按下Win + R组合键,调出“运行”对话框。
2、在输入框中键入eventvwr.msc,按回车键启动事件查看器。
3、在左侧窗格中依次展开Windows 日志 → 系统,主窗口将显示系统级事件列表。
4、观察“级别”列图标:红色图标代表错误事件,应优先双击查看详细信息。
5、右键点击“系统”日志,选择“筛选当前日志”,在弹出窗口中勾选错误和严重,并在“包括事件ID”栏输入41、6008、7031、153、13,点击“确定”完成筛选。
二、使用PowerShell命令行精准提取最近错误事件
PowerShell提供结构化查询能力,可绕过图形界面直接输出纯文本错误记录,适用于需批量处理、脚本复用或远程诊断的场景。
1、以管理员身份启动PowerShell:右键“开始”按钮 → 选择Windows PowerShell(管理员)。
2、执行以下命令获取系统日志中最近50条错误事件:Get-WinEvent -LogName System -MaxEvents 50 | Where-Object {$_.LevelDisplayName -eq "Error"}。
3、若需限定时间范围(例如过去24小时),运行:Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=(Get-Date).AddHours(-24)} | Where-Object {$_.LevelDisplayName -eq "Error"}。
4、导出结果至CSV文件便于后续分析:Get-WinEvent -LogName System -MaxEvents 100 | Where-Object {$_.LevelDisplayName -eq "Error"} | Export-Csv C:\System_Errors.csv -NoTypeInformation。
三、调用wevtutil命令行工具批量导出原始日志
wevtutil是Windows原生命令行日志管理工具,适用于无图形界面环境、离线保存完整日志或需保留原始.evtx格式的维护场景。
1、以管理员身份运行命令提示符:右键“开始”按钮 → 选择命令提示符(管理员)。
2、执行命令导出系统日志为文本格式:wevtutil qe System /f:text > C:\System_Log_Text.txt。
3、导出系统日志为XML格式以便结构化解析:wevtutil qe System /f:xml > C:\System_Log_XML.xml。
4、仅导出错误级别事件并保存为.evtx文件:wevtutil qe System /q:"*[System[(Level=2)]]" /lf:true /fo:evtx /o:C:\System_Errors.evtx。
四、识别关键事件ID快速定位典型故障类型
每个事件ID对应特定系统行为或异常状态,掌握高频ID有助于跳过冗余信息,直击问题本质。
1、事件ID 41:表示系统意外关机或未正常关闭,常见于电源中断、蓝屏后强制重启。
2、事件ID 6008:标识系统上次非正常关机,与ID 41常成对出现。
3、事件ID 7031:服务意外终止,多见于后台服务崩溃或依赖项缺失。
4、事件ID 153:存储控制器或磁盘驱动异常,可能预示硬盘故障风险。
5、事件ID 1001:Windows错误报告记录,通常关联应用程序崩溃或系统级异常。
五、导出.evtx日志文件供技术支持分析
将原始日志文件打包发送给专业人员,可避免信息截断或描述失真,确保诊断依据完整可信。
1、在事件查看器左侧导航栏中,右键点击系统日志。
2、选择将所有事件另存为…。
3、在保存对话框中,文件类型选择事件文件(*.evtx)。
4、指定保存路径(如C:\System_Backup.evtx),点击“保存”。
5、生成的.evtx文件可直接被其他Windows设备或日志分析工具加载查看。
