Windows事件查看器捕获了大量有关系统的信息,以至于有时可能很难找到您要查找的信息。这就是为什么过滤日志如此方便的原因。例如,假设您要查看计算机关闭或重新启动的时间。首先显示事件查看器。 (执行此操作的最简单方法是使用Windows的搜索功能查找“ Event Viewer”,而不带引号。)(请参见图1。)

image

图1. Event Viewer主屏幕。

由于我们对系统启动和关闭感兴趣,因此请使用屏幕的左窗格导航至“应用程序和服务日志|日志”。微软| Windows |诊断性能|操作。深入探讨之后,“事件查看器”屏幕应该与您先前看到的主要屏幕完全不同。 (请参见图2。)

image

图2.导航到

在右窗格顶部附近,单击“筛选当前日志”。 Windows将显示“筛选当前日志”对话框。过滤器选项卡应显示在对话框中。 (请参见图3。)

image

图3.“过滤当前日志”对话框。

您可以在此处指定很多选项:记录事件的时间,您感兴趣的事件级别,要使用的日志和源,要包含的事件ID,要用于过滤日志的关键字,以及与日志相关的用户和计算机。

由于我们对任何事件级别的任何时间的启动和关闭都很感兴趣,并且由于我们已经导航到正确的事件日志,因此我们无需在此处进行任何更改。同样,除了事件ID,我们也不关心事件源或屏幕上的其他任何事件。事实证明,Windows启动由事件ID 100表示​​,Windows关闭由事件ID 200表示。因此,我们要做的就是将两个数字(用逗号分隔)输入到当前显示“ <所有事件ID>”的文本框。

|在文本框中输入“ 100,200”(不带引号)。单击“确定”后,您将立即查看日志将被过滤以仅包括ID为100或200的事件。现在,您可以轻松浏览日志并查看与每次重新启动有关的详细信息。

|此技巧(12829)适用于Windows 7、8和10。