Windows系统日志查看与事件查看器使用方法

时间：2026-06-08 | 作者：318050 | 阅读：0

排查Windows系统异常、蓝屏、服务崩溃或硬件故障时，系统日志往往是第一手信息来源。

Windows通过“事件查看器”集中记录系统组件、驱动程序及内核活动的详细信息。

下面整理了几种靠谱且可操作的方法，覆盖图形界面、命令行、PowerShell，以及远程管理和高级审计场景。

事件查看器是Windows内置的可视化日志管理工具，无需安装第三方软件。

它可以直接访问系统、安全、应用程序等核心日志类别。

1、按下 Win + R 组合键，打开“运行”对话框。
2、输入 eventvwr.msc，回车启动事件查看器。
3、在左侧窗格依次展开 Windows 日志 → 系统，中间窗格会列出所有系统级事件。
4、双击任意一条事件，可以查看完整时间戳、事件ID、来源、级别（如错误、警告）、任务类别及详细描述文本。
5、右键点击“系统”日志，选择 筛选当前日志，支持按事件ID（比如41、7000、1001）、日期范围、事件级别或来源（如disk、ntoskrnl）快速定位问题线索。

wevtutil是Windows原生命令行日志工具，适合无GUI环境（如Server Core）或需要批量处理的场景。

它可以进行日志枚举、导出、清除等操作。

1、以管理员身份运行命令提示符（CMD）。
2、输入 wevtutil.exe el，列出当前系统所有可用日志名称（例如System、Security、Application）。
3、执行 wevtutil.exe qe System /f:text /c:50，以文本格式显示系统日志最新50条记录。
4、导出全部系统日志为.evtx文件：输入 wevtutil.exe epl System C:System_Logs.evtx，该文件可以在其他Windows机器上用事件查看器打开分析。

PowerShell提供了比图形界面更灵活的日志查询能力，尤其适合按时间、事件ID、来源等多条件组合筛选。

它还支持导出为CSV便于后续处理。

1、以管理员身份启动PowerShell。
2、运行 Get-WinEvent -LogName System -MaxEvents 100 | Where-Object {$_.LevelDisplayName -eq "Error"}，获取最近100条系统日志中的错误事件。
3、查询特定时间段内磁盘相关错误：输入 Get-WinEvent -FilterHashtable @{LogName='System'; StartTime='2025-12-18'; EndTime='2025-12-19'; ProviderName='disk'}。
4、导出筛选结果至CSV：追加管道命令 | Export-Csv C:Disk_Errors.csv -NoTypeInformation。

对于已部署Windows Server且启用Windows Admin Center的环境，可以通过浏览器远程访问并实时查看目标服务器的系统日志。

这种方式适合集中化IT管理场景。

默认系统日志不记录细粒度的文件访问或进程启动行为。

需要配合Sysmon或本地安全策略启用扩展审计，才能捕获这类操作痕迹。

1、下载并安装Microsoft官方 Sysmon 工具，使用推荐配置文件（如Sysmon-config.xml）部署服务。
2、重启后，Sysmon日志会出现在事件查看器路径：Applications and Services Logs → Microsoft → Windows → Sysmon → Operational。
3、在该日志中可以查到进程创建（Event ID 1）、网络连接（Event ID 3）、文件创建时间更改（Event ID 23）等高价值线索。
4、如果需要启用本地文件操作审计（比如谁删除了C:Datareport.xlsx），需要先在组策略中启用“审核对象访问”，再对目标文件夹设置SACL，然后在事件查看器中查看 Security 日志中ID为4663的事件。