win11怎么查看运行日志 win11怎么分析系统崩溃错误原因【指南】

Windows 11崩溃分析有五种方法：一、事件查看器筛选ID 41/1001/1002等错误日志；二、用WinDbg分析Minidump文件；三、PowerShell命令批量检索日志；四、可靠性监视器查看时间轴故障；五、BlueScreenView比对多dump驱动堆栈。

如果您在使用 Windows 11 过程中遇到系统崩溃、蓝屏或异常重启，系统通常会自动生成运行日志与崩溃记录。这些日志包含事件时间戳、错误代码、来源模块及堆栈信息，是定位根本原因的关键依据。以下是多种直接可用的查看与分析方法：

一、通过事件查看器图形界面定位崩溃相关日志

事件查看器集中归档所有系统级事件，其中“系统”日志下 ID 41（意外关机）、ID 1001（Windows 错误报告）、ID 1002（Windows 错误报告服务停止）等条目常对应崩溃发生时刻，可快速锁定时间点与初步原因。

1、按下 Win + R 组合键，调出“运行”对话框。

2、输入 eventvwr.msc 并按回车，启动事件查看器。

3、在左侧导航栏中依次展开 Windows 日志 → 系统。

4、在右侧“操作”面板中点击 筛选当前日志。

5、在弹出窗口中勾选 错误 和 严重 级别，并在“包括事件ID”栏输入 41,1001,1002,6008，点击确定。

6、双击筛选出的任一条目，查看“常规”与“详细信息”选项卡中的完整描述、错误代码（如 0x00000139）及故障模块名称。

二、检查并提取内存转储文件（Minidump）进行深度分析

当发生蓝屏时，Windows 默认在 C:\Windows\Minidump\ 下生成 .dmp 文件，该文件保存崩溃瞬间的内核与驱动堆栈快照，是识别故障驱动或内存冲突的核心证据。

1、打开文件资源管理器，导航至路径 C:\Windows\Minidump。

2、若该文件夹为空或不存在，说明未启用小内存转储：右键“此电脑”→属性→高级系统设置→启动和故障恢复→设置→将“写入调试信息”改为 小内存转储(256 MB)，并确认转储目录为默认路径。

3、找到以日期时间命名的 *.dmp 文件（如 Mini031226-01.dmp），右键复制一份至桌面备用。

4、前往 Microsoft Store 安装 WinDbg Preview（免费官方工具）。

5、以管理员身份运行 WinDbg Preview，点击“打开转储文件”，选择刚复制的 .dmp 文件。

6、在命令行窗口中输入 !analyze -v 并回车，等待解析完成，重点关注“BUGCHECK_STR”、“PROCESS_NAME”、“IMAGE_NAME”及“STACK_TEXT”段落。

三、使用 PowerShell 命令行批量检索崩溃时段日志

PowerShell 可绕过图形界面延迟，直接调用 Windows 日志 API，支持按时间范围、事件级别与ID组合查询，适合快速复现崩溃前后完整上下文。

1、右键“开始”按钮，选择 终端(管理员)。

Otter.ai

一个自动的会议记录和笔记工具，会议内容生成和实时转录

下载

2、执行以下命令获取过去 48 小时内所有系统错误事件：Get-WinEvent -LogName System -StartTime (Get-Date).AddHours(-48) | Where-Object {$_.LevelDisplayName -eq "Error"}。

3、若需聚焦蓝屏关联事件，运行：Get-WinEvent -FilterHashtable @{LogName='System'; ID=41,1001,1002} -MaxEvents 50。

4、导出结果至桌面 CSV 文件以便离线比对：Get-WinEvent -FilterHashtable @{LogName='System'; Level=2; StartTime=(Get-Date).AddHours(-24)} | Export-Csv C:\Crash_Last24h.csv -NoTypeInformation。

四、借助可靠性监视器获取崩溃时间线与可视化摘要

可靠性监视器以时间轴形式聚合所有关键系统事件（包括应用程序挂起、Windows 故障、蓝屏），提供直观稳定性评分与红色故障标记，便于快速定位首次异常出现日期。

1、按下 Win + R，输入 control 并回车，打开控制面板。

2、将右上角“查看方式”设为 大图标，点击 安全与维护。

3、在左侧菜单中点击 维护，右侧点击 查看可靠性历史记录。

4、在图表中查找带 红色叉号 的日期，点击该日期，下方列表将显示当日所有崩溃事件，包括“Windows 关键问题”条目及其“详细信息”链接。

5、点击“详细信息”链接，将自动跳转至事件查看器中对应日志条目，可进一步查看原始事件ID与描述文本。

五、使用 BlueScreenView 进行多 dump 文件堆栈比对

BlueScreenView 是轻量级可视化工具，可同时加载多个 .dmp 文件，高亮显示重复出现的驱动模块与调用链，适用于反复崩溃场景中识别共性故障组件。

1、从 NirSoft 官网下载便携版 BlueScreenView.exe（无需安装）。

2、以管理员身份运行该程序。

3、点击 File → Load Dump Files，选择 C:\Windows\Minidump\ 下全部 .dmp 文件。

4、主窗口将以表格形式列出每次崩溃的 BSOD 代码、发生时间、以及各驱动模块的加载状态。

5、观察“Caused By Driver”列中频繁出现的驱动文件名（如 nvlddmkm.sys、dxgkrnl.sys），并注意其右侧“Stack”列中标记为 红色背景 的顶层模块——该模块极可能为直接触发崩溃的驱动。