深入解析 Windows 事件日志功能与管理:故障排查之利器志_Windows

windows 事件日志是记录系统事件和错误信息的宝库。可以帮助你识别和解决各种问题，例如应用程序崩溃、系统错误和安全审核等。

这些日志文件位于c:\windows\system32\config\路径下，但不支持使用文本编辑器打开。为了方便查看，windows 提供了两个实用工具：

事件查看器：查看和管理 windows 事件日志的默认工具。
可靠性监视器：以更直观的方式展示事件日志和系统性能数据的工具。

这两个工具都能帮助你分析 windows 上的各种错误和警告，如果你遇到应用程序频繁崩溃或蓝屏死机（bsod）问题，它们可以辅助你查找问题根源。

接下来，我们将介绍如何使用「事件查看器」和「可靠性监视器」来识别和理解各种问题。

什么是 windows 事件日志

windows 事件日志是记录系统事件的文件，涵盖了应用程序错误、系统错误和安全事件等。通过这些日志，我们可以追溯问题发生的原因，了解计算机的健康状况，以及排除故障。

比如系统崩溃时，windows 就会创建一个日志来记录崩溃原因。

有时候，错误信息很直观，可以一目了然地帮助我们解决问题（完结撒花）。但偶尔，却只有一个错误代码，例如0xc000021a（一脸懵x）。这就需要我们通过查询 microsoft 知识库、上网进一步搜索，或咨询系统工程师来找到详细的解决方法。

事件日志通常包括以下这些信息：

日志名称：事件所属的类型。
来源：产生事件的应用或组件。
事件 id：用于识别具体事件的编号。
级别：事件的严重程度，比如「信息」、「警告」和「错误」等。
用户：事件发生时的用户账户。
操作代码：也叫 opcode，记录触发事件时所执行的操作。
记录时间：事件发生的具体时间。
任务类别：提供事件更多细节的分类。
关键字：用于分类事件的关键词，常见的有「经典」。
计算机：记录事件的计算机名称。

事件查看器中的常用信息

windows 事件日志的类型和类别

了解 windows 事件日志的类型和类别，是理解和分析系统错误的第一步。掌握这些知识，能够帮助你快速定位问题根源，有效解决系统故障。

事件日志类型

根据事件的重要性，事件日志可以分为以下5 种类型：

事件类型	描述	严重程度	示例
信息	记录正常运行的事件	低	服务启动成功
警告	提示潜在问题的事件	中等	磁盘空间不足
错误	表示出现严重问题的事件	高	系统崩溃
审核成功	记录安全审核成功的事件	低	成功登录
审核失败	记录安全审核失败过的事件	中等	无法访问网络资源

我们应该特别关注「警告」和「错误」类型的事件日志，它们通常和系统故障紧密相关。

事件日志类别

事件日志还根据来源和内容分为以下几个类别：

事件类别	描述	示例
应用程序	记录应用程序相关的事件	应用程序启动失败、应用程序崩溃
安全	记录系统安全相关的事件	登录尝试、文件访问、权限变更
系统	记录系统内核、驱动程序等相关的事件	内核错误、硬件故障、服务启动失败
安装	记录 windows 组件、「windows 更新」安装相关的事件	组件安装成功、更新下载失败
转发的事件	从其他设备转发过来的事件日志	远程服务器登录失败、网络连接中断

了解这些类别有助于在出现问题时迅速定位相关日志，缩小排查范围。

方法 1：使用 windows 事件查看器

在「事件查看器」中，可以查看系统中记录的所有事件日志。操作步骤如下：

打开 windows 事件查看器

1、使用windows + r快捷键打开「运行」对话框，执行eventvwr.msc打开事件查看器。

2、在左侧导航栏，展开「windows 日志」。

3、选择你想要查看的日志类别。

选择日志类别

查看事件

在中间窗格中滚动日志，找到并双击事件，即可查看详细信息。

双击查看事件属性

过滤事件

如果日志太多，可以使用过滤器来快速筛选有用信息：

1、在右侧窗格中，点击「筛选当前日志」。

2、根据需要选择过滤条件，例如：

记录时间：事件发生的时间范围。
事件级别：事件的严重程度，例如信息、警告或错误等。
事件 id：指定事件的代码（event id）。

3、点击「确定」应用过滤器。

例如，要筛选出最近 30 天 windows 系统关机、重启或注销的记录，可以使用以下过滤条件：

1、在日志类别是选择「系统」，点击「筛选当前日志」

2、在「记录时间」中选择「近 30 天」，在「事件 id」中填写1074。

event id：1074 是关于 windows 系统关机、重启或注销的事件日志记录。

筛选指定事件

3、点击「确定」之后，就可以在结果中看到当前 windows 最近 30 天内的注销、关机和重启历史记录。

查看筛选结果

创建和管理自定义视图

如果你要持续关注某个问题，又不想重复设置筛选条件，可以创建一个自定义视图：

1、在右侧窗格中，点击「创建自定义视图」。

2、在「按日志」的下拉列表中，勾选要关注的日志类别。

创建自定义视图

3、选择「事件级别」，点击「确定」。

4、为自定义视图命名，再次点击确定。

如果需要调整自定义视图的筛选条件：可以右键点击该视图，选择「属性」>「编辑筛选器」进行修改。当不再需要某个自定义视图时：可以右键点击该视图，选择「删除」即可轻松移除。

方法 2：使用 windows 可靠性监视器

可靠性监视器会以时间轴（按天或周）的方式展示事件，帮助你直观地了解可能对系统可靠性和性能造成影响的错误和问题。它虽不如「事件查看器」那样详尽，但在查看关键错误日志方面更为直接。

打开 windows 可靠性监视器

1、使用windows + r快捷键打开「运行」对话框，执行control打开控制面板。

2、依次点击「系统和安全」>「安全和维护」>「查看可靠性历史记录」。

点击「查看可靠性历史记录」

查看事件

1、在「查看方式」旁边，选择按「天」或「周」查看，然后点击日期列。

使用 windows 可靠性监视器

2、双击底部的条目，可以查看事件的详细信息。

查看事件详细信息

给普通用户的一些经验之谈

区分严重程度级别

凡事都有个轻重缓急。在面对 windows 系统问题，我们首先要区分严重程度，做到心中有数，以便采取相应的措施：

严重的问题可能不紧急：有些问题虽然严重，但并不影响当下工作或生活，可以稍后处理。例如，凌晨 2 点，全市 amt 全部宕机了，大半夜的没几个人存取钱，这个问题不太紧急，但相当严重。
紧急的问题可能不严重：有些问题看似不严重，但可能会影响到重要工作或活动，需要紧急处理。例如，你告诉工程师 powerpoint 无法打开了，这个问题看似不严重。但你即将在国际会议上发表学术报告，这就相当紧急了。专业的工程师不会花时间去解决 powerpoint 问题，而是马上给你提供备机，优先确保报告顺利进行。

学会查看事件日志

事件日志就像 windows 中的「黑匣子」，记录了系统运行过程中的所有事件和错误信息。学会解读这些日志，可以帮助你快速识别和解决各种问题，而不是一遇到问题就重启、重置和重装这三板斧。在事件日志中应该主要关注：

记录时间：在咨询一个问题时，工程师通常会问你之前做了什么？绝大多数用户的回答是：我什么都没做呀（那才有鬼了）。而事件日志记录了每个事件发生的具体时间和日期，方便你追踪问题发生的时间和前后关联。
来源：为了防止「头痛医头」，事件来源指明了生成该事件的应用程序或系统组件，可以帮助你快速定位问题所在的部分。
事件 id：每个事件都有一个唯一标识符，称为 event id。你可以根据 event id 在线搜索具体的问题和解决方案。