Windows事件日志使用称为事件查看器的系统程序进行查看。启动事件查看器的最简单方法是使用Windows的搜索功能,查找“事件查看器”(不带引号)。程序启动后,初始屏幕会打招呼。 (请参见图1。)

image

图1. Event Viewer的初始窗口。

屏幕的大部分(中间的信息)概述了事件日志的各个元素。您可以深入研究任何这些以获得更多信息。但是,在大多数情况下,您可能需要直接转到特定日志,在这种情况下,您需要展开屏幕左上方附近的“ Windows日志”节点。此扩展揭示了五个主要事件日志:应用程序,安全性,设置,系统和转发事件。单击这些名称之一可以进入事件本身。例如,如果单击“应用程序”日志,则可以查看该日志文件中包含的所有事件。 (请参见图2。)

image

图2.查看应用程序日志。

查看事件日志时,“事件查看器”屏幕分为四个窗格。左侧的垂直窗格是导航器窗格,它允许您展开和折叠容纳不同事件日志的树。顶部居中的窗格列出了所选日志的事件。 (默认情况下,事件按时间倒序排列,因此最新事件显示在顶部。)底部中间的窗格是预览窗格,可以关闭预览窗格以为事件本身腾出更多空间。但是,如果打开,它将提供有关在上部中央窗格中选择的事件的详细信息。右侧的垂直窗格是操作窗格,它使您可以对事件日志或选定的特定事件执行各种操作。

要查看有关事件的更多信息,请单击上部中央窗格中的事件。其详细信息将显示在预览窗格中。您还可以对看到的事件应用过滤器,以仅关注您当前感兴趣的事件。例如,您可能只希望看到“关键”或“错误”事件,或者仅看到某些事件ID。您可以应用许多过滤器。只需单击“操作”窗格中的“过滤器当前日志”链接,然后创建过滤器。

出于历史原因或以后要查看时,也可以将部分或全部事件日志保存到磁盘。为此,请在“操作”窗格中单击“将事件另存为”链接,系统将提示您输入要在其中存储事件的文件名。然后,您可以稍后查看此日志,就像查看任何实时日志一样。

事件查看器是功能强大的资源,可以帮助系统管理员保持系统正常运行。它甚至可以帮助需要从其非GUI程序记录信息的程序员。

花时间去熟悉事件查看器是花费的时间。

本技巧(11565)适用于Windows 7、8和10。