Nhật ký sự kiện giống như các tệp hệ thống mà thông tin nhất định được viết bởi các chương trình không có phương tiện xuất nào khác. Ví dụ: một dịch vụ Windows chạy mà không có giao diện người dùng, vì vậy khi dịch vụ muốn xuất một thông báo, nó sẽ làm như vậy bằng cách ghi vào nhật ký sự kiện. Bạn chạy Trình xem sự kiện để xem tất cả những gì đã được ghi vào nhật ký sự kiện theo thời gian.

Bốn bản ghi sự kiện phổ biến nhất là Ứng dụng, Bảo mật, Thiết lập và Hệ thống, mặc dù có nhiều bản ghi khác. Và bạn có thể tạo chế độ xem tùy chỉnh của nhật ký để có thể dễ dàng xác định chính xác thông tin bạn đang tìm kiếm. Ví dụ, có một bản ghi sự kiện được gọi là Microsoft | Windows | Chẩn đoán-Hiệu suất | Hoạt động. Nhật ký này chứa thông tin về hiệu suất khởi động. Nếu bạn muốn có một cách nhanh chóng để xem những sự kiện nào đang khiến hệ thống của bạn khởi động chậm hơn bạn muốn, bạn có thể tạo một chế độ xem tùy chỉnh (hoặc một bộ lọc) để xem nhật ký đó và chỉ hiển thị “101” sự kiện (mỗi loại sự kiện có ID sự kiện và ID sự kiện 101 dành cho khởi động ứng dụng chậm).

Ngoài việc xem các sự kiện trong thời gian thực, bạn có thể tạo tệp trên đĩa chứa thông tin sự kiện. Sau đó, bạn có thể xem các nhật ký đã lưu đó sau này.

Nhật ký sự kiện là tài nguyên tốt cho quản trị viên hệ thống và chúng cũng tốt cho lập trình viên. Bạn có thể viết một dịch vụ Windows không có giao diện người dùng, nhưng bạn muốn nắm bắt một số thông tin quan trọng mà nó cung cấp. Một cách để làm điều này là yêu cầu dịch vụ ghi vào nhật ký sự kiện.

Một điều khác bạn có thể làm với nhật ký sự kiện là đính kèm một nhiệm vụ vào nhật ký hoặc thậm chí một sự kiện cụ thể để khi nhật ký đó được ghi vào (hoặc sự kiện đó kích hoạt), tác vụ của bạn có thể được kích hoạt.

Mẹo này (11564) áp dụng cho Windows 7, 8 và 10.