Windows10日志查看与导出教程

前往下载Windows工具

想要高效排查 Windows 10 系统故障？本文详解 Windows 10 事件日志查看与导出方法，助你快速定位问题根源。通过系统自带的事件查看器（eventvwr.msc），你可以轻松浏览应用程序、系统和安全日志，筛选特定事件ID或级别，例如开机、关机错误等，精准定位关键信息。文章详细介绍如何导出完整日志（.evtx格式），便于长期存档和技术分析。此外，还提供筛选后日志的导出技巧，以及使用 wevtutil 命令行工具实现自动化导出，满足不同场景需求。掌握这些技巧，让 Windows 10 问题排查事半功倍！

通过事件查看器可排查Windows 10问题，依次操作：打开eventvwr.msc查看日志，筛选特定事件ID或级别，导出完整或筛选后日志为.evtx等格式，或使用wevtutil命令行工具实现自动化导出。

如果您需要排查Windows 10系统中的问题，例如程序崩溃、系统启动失败或安全事件，查看和导出事件日志是关键步骤。事件查看器会记录应用程序、系统组件和安全相关的详细信息，帮助您定位故障原因。

本文运行环境：Dell XPS 13，Windows 10 专业版

一、通过事件查看器查看日志

事件查看器是Windows内置的工具，用于集中显示所有系统、应用程序和安全相关的日志条目。通过它，您可以浏览详细的事件信息，包括事件ID、来源、时间和描述。

1、按下 Win + R 组合键打开“运行”对话框。

2、输入 eventvwr.msc，然后按回车键，即可打开事件查看器。

3、在左侧导航栏中，展开“Windows 日志”，可以看到“应用程序”、“安全”和“系统”三个主要分类。

4、点击任意一个分类，如“系统”，中间窗格将显示该日志的所有事件记录。

5、双击某一条日志，可以查看其详细信息，包括事件级别、事件ID、用户、操作代码等。

二、筛选特定事件日志

当需要查找特定类型的事件时，例如开机、关机或错误信息，使用筛选功能可以快速缩小范围，避免在大量日志中手动查找。

1、在事件查看器中，选择要筛选的日志类型，例如“Windows 日志”下的“系统”。

2、在右侧的“操作”面板中，点击“筛选当前日志”。

3、在弹出的窗口中，“事件级别”可勾选“错误”、“警告”或“关键”以聚焦问题事件。

4、在“事件ID”框中输入特定ID进行精确查找。例如，输入 6005 可查看开机日志，输入 6006 可查看关机日志。

5、点击“确定”后，日志列表将仅显示符合条件的事件。

三、导出完整的日志文件

将整个日志导出为文件，便于长期存档或提交给技术支持人员进行分析。导出的文件可保存为多种格式，其中 .evtx 是原生格式，能保留所有原始数据。

1、在事件查看器中，右键点击要导出的日志，例如“应用程序”。

2、从上下文菜单中选择“将所有事件另存为”。

3、在弹出的对话框中，选择文件的保存位置，并输入文件名。

4、在“保存类型”下拉菜单中，可以选择 .evtx（推荐）、.txt 或 .csv 格式。

5、点击“保存”按钮，完成导出操作。

四、导出筛选后的日志

当只需要导出符合特定条件的事件时，例如所有错误事件，可以在筛选后仅导出这些结果，使文件更精简且针对性更强。

1、首先按照“二、筛选特定事件日志”的步骤设置好筛选条件。

2、筛选完成后，右键点击当前视图中的日志名称（例如“系统”）。

3、选择“将已筛选的日志文件另存为”。

4、指定文件保存路径和名称，在“保存类型”中选择所需格式，如 .evtx 或 .csv。

5、点击“保存”，系统将只导出符合筛选条件的事件。

五、使用命令行工具导出日志

对于需要自动化或远程执行的任务，可以使用命令行工具 wevtutil.exe 来导出日志，无需图形界面操作。

1、以管理员身份打开“命令提示符”或“Windows PowerShell”。

2、使用以下命令导出整个系统日志：wevtutil epl System C:\Logs\SystemLog.evtx，此命令将系统日志导出到C盘Logs文件夹下。

3、若要导出特定事件，例如所有错误级别的事件，可使用查询命令：wevtutil qe System /q:"*[System[(Level=1 or Level=2)]]" /f:evtx > C:\Logs\Errors.evtx。

4、确保目标路径存在，否则需先创建相应目录。

到这里，我们也就讲完了《Windows10日志查看与导出教程》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于事件查看器,事件日志,Windows10,日志导出,wevtutil的知识点！