Windows事件查看器捕获了大量有关您系统的信息,以至于有时可能很难找到您要查找的信息。这就是为什么创建自定义视图如此方便的原因。

例如,假设您要创建一个自定义视图,该视图仅显示关闭或重新启动计算机的时间。首先显示事件查看器。 (执行此操作的最简单方法是使用Windows的搜索功能查找“ Event Viewer”,而不带引号。)(请参见图1。)

image

图1. Event Viewer主屏幕。

由于我们对系统启动和关闭感兴趣,因此请使用屏幕的左窗格导航至“应用程序和服务日志” |“系统日志”。微软| Windows |诊断性能|操作。深入探讨之后,“事件查看器”屏幕应该与您先前看到的主要屏幕完全不同。 (请参见图2。)

image

图2.导航到

在右窗格顶部附近,单击“创建自定义视图”。 Windows将显示“创建自定义视图”对话框。过滤器选项卡应显示在对话框中。 (请参见图3。)

image

图3.创建一个自定义视图。

对话框中的控件使您可以精确指定要在视图中看到的内容。您可以指定事件的记录时间,感兴趣的事件级别,要使用的日志和源,要包括的事件ID,将用于过滤视图的关键字以及与用户和计算机相关的事件到视图。

由于我们对任何事件级别的任何时间的启动和关闭都很感兴趣,并且由于我们已经导航到正确的事件日志,因此我们无需在此处进行任何更改。同样,除了事件ID,我们也不关心事件源或屏幕上的其他任何事件。事实证明,Windows启动由事件ID 100表示​​,Windows关闭由事件ID 200表示。因此,我们要做的就是将两个数字(用逗号分隔)输入到当前显示“ <所有事件ID>”的文本框。

||在文本框中输入“ 100,200”(不带引号),然后单击“确定”。

Windows显示“将过滤器保存为自定义” “视图”对话框,它提供了为我们正在创建的视图指定名称的机会

(见图4)

image

||图4.保存

||我将自定义视图命名为“重新启动”,并提供有关该视图的简短说明,然后单击“确定”保存新的自定义视图。

||在事件查看器的右窗格中,只需双击即可轻松显示它,现在我有了所需的信息,而所有其他事件均未通过Windows记录。

本技巧(12819)适用于Windows 7、8和10。