windows10事件查看器的简要使用教程

  事件查看器是windows自带的功能,通过该工具我们可以得知用户大部分的操作日志,比如开关机,账号登陆退出,安装软件等.通过合理地分析系统日志,会让系统管理员的工作事半功倍,例如我们想知道计算机的启动和关闭日志就可以知道用户什么时候开关机,通过软件安装日志就可以知道用户安装过哪些软件,本文简要介绍一下事件查看器的使用.

如何进入事件查看器

  我们可以通过很多方式进入,最简单的方式是同时按住Win+R键,然后在弹出的运行窗口中输入eventvwr并回车.

  这样我们就可以打开事件查看器程序了,如图.

  事件查看器有左中右三个窗口,左边的是事件的目录,不同的事件被各自整理成相应的类别.中间窗口为日志的列表和详情,最后边是操作窗口,里面列出了可以对日志内容的可操作选项.

常用的目录

  在"windows日志"->"应用程序"里面,我们可以看到一部分应用程序的日志,比如mysql,winlogon服务等.

  在"windows日志"->"安全"里面,我们可以查看和管理跟登录,退出,账号管理等安全相关的日志记录.

  在"windows日志"->"系统"里面,我们可以查看和管理系统相关的日志.

  在"应用程序和服务日志"下面,我们可以更多的应用程序的日志.

事件查看器的常见操作

  我们使用日志最常见的操作无非就是如下几个:保存日志,打开保存的日志,清除日志,筛选当前日志.

  保存日志是将当前的日志备份到指定的目录.

  打开保存的日志可以打开先前保存的日志文件.

  清除日志可以清除指定目录下的日志,以达到节省磁盘空间以及加快打开日志列表的目的.

  筛选当前日志可以只查看特定的事件,例如我想查看系统启动事件,则可以在筛选面板中的事件ID输入框输入6013,点击确定就可以看到所有的系统启动时间的日志.

  备注:具体的事件ID,各个windows版本都不完全一样,本文就不给出详细的列表了,大家使用的时候注意留意即可.