TreeSize分析Windows日志方法【实用】

TreeSize是Windows系统中精准定位和清理“空间吞噬者”日志文件的利器——无论是疯狂膨胀的事件日志（.evtx）、IIS网站日志、WSUS更新日志，还是第三方服务生成的巨型.log或.txt文件，它都能绕过资源管理器的显示缺陷，通过NTFS底层读取真实大小、支持多条件联合筛选、右键一键扫描、重复内容智能识别，甚至可与PowerShell协同突破权限限制，帮你快速揪出那些动辄数GB却长期被忽视的“沉默巨兽”，让磁盘空间管理变得直观、高效、可控。

如果您希望快速定位Windows系统中体积庞大的日志文件（如事件日志、应用日志、IIS日志、WSUS日志或第三方服务生成的日志），TreeSize可精准扫描并高亮显示其实际磁盘占用。日志文件常因未轮转或错误配置持续增长，单个文件可达数GB，但系统资源管理器默认不显示真实大小或隐藏扩展名。以下是多种高效分析方法：

一、使用TreeSize Free扫描指定日志目录并按大小排序

该方法直接聚焦常见日志路径，规避全盘扫描耗时，适用于已知日志存放位置的场景。TreeSize通过NTFS元数据读取精确大小，不受文件属性误导，能识别压缩日志（.evtx、.log、.txt）及归档包（.zip、.7z）中的日志内容。

1、启动TreeSize Free，点击顶部菜单栏“File”→“Open folder”，在弹出窗口中输入：C:\Windows\System32\winevt\Logs，点击确定。

2、扫描完成后，在结果列表上方点击“Size”列标题两次，确保按大小降序排列。

3、观察“Name”列中以“.evtx”结尾的文件，重点关注文件名含“Application”、“Security”、“System”且大小超过100 MB的条目。

4、右键选中目标日志文件，选择“Open folder in Explorer”，在资源管理器中查看其完整路径与属性。

5、若需进一步确认内容，右键该.evtx文件→“Open with”→选择“Event Viewer”，验证是否为长期未清理的历史事件日志。

二、利用TreeSize筛选功能精准定位大日志文件

TreeSize内置高级筛选器可按扩展名、大小阈值和修改时间联合过滤，避免人工逐行排查。此方式特别适合混合存储环境下从海量文件中提取日志类大文件，支持通配符匹配与正则表达式逻辑。

1、在TreeSize主界面点击顶部“View”→“Filter”，打开筛选设置窗口。

2、在“File name”字段输入：*.log;*.evtx;*.txt;*.out;*.err（分号分隔多扩展名）。

3、在“Size”区域勾选“Greater than”，输入数值：50000000（即50MB，单位为字节）。

4、在“Last modified”区域勾选“Before”，输入日期：2025-01-01，用于识别陈旧未轮转日志。

5、点击“OK”应用筛选，结果列表仅显示同时满足三条件的文件，双击任一项即可定位所在文件夹。

三、通过右键集成快速扫描任意日志目录

TreeSize安装后自动向Windows资源管理器右键菜单注入扫描选项，无需启动主程序即可对任意可疑日志目录发起即时分析，大幅缩短响应时间。该功能依赖Shell扩展注册，需以管理员身份完成初始安装。

1、打开文件资源管理器，导航至疑似日志集中地，例如：C:\inetpub\logs\LogFiles（IIS日志）或C:\ProgramData\Microsoft\Windows\WER\ReportArchive（错误报告日志）。

2、在空白处右键单击，选择“TreeSize Free”→“Scan this folder”。

3、等待扫描完成，TreeSize自动启动并加载该路径结果，默认按大小排序。

4、在结果页顶部切换至“Treemap”视图，查找面积最大且颜色为深蓝色或紫色的矩形（TreeSize默认用色系区分文本类文件）。

5、鼠标悬停于该矩形，查看浮层中显示的完整路径与精确大小，确认是否为连续命名的日期型日志文件（如u_ex250420.log）。

四、使用TreeSize Professional的重复日志识别功能

部分服务（如数据库、监控工具）会生成内容高度相似的周期性日志副本，虽路径不同但实质冗余。TreeSize Professional可通过哈希比对识别此类重复日志，避免多次清理同一类内容，提升空间释放效率。

1、启动TreeSize Professional，点击顶部菜单栏“Tools”→“Find duplicate files”。

2、在搜索范围中手动添加多个日志目录：C:\Windows\Logs、C:\Program Files\MyApp\logs、D:\Backup\Logs。

3、勾选“Compare by content”，取消勾选“Compare file names”，确保基于实际字节比对而非名称匹配。

4、点击“Start search”，等待完成；结果中每组重复项均标注各副本路径与大小，重点关注“Size saved if deleted”列数值。

5、对确认为备份冗余的日志组（如某日志被同步至D盘且内容完全一致），勾选非原始路径的副本，点击“Delete selected files”执行清理。

五、结合PowerShell预筛+TreeSize深度分析

对于权限受限或路径极深的日志位置（如受保护的系统服务日志），可先用PowerShell快速枚举超大日志文件，再将结果路径导入TreeSize进行可视化下钻。该组合规避了TreeSize直接扫描时可能遇到的访问拒绝错误，同时保留图形化交互优势。

1、以管理员身份运行PowerShell，执行命令：Get-ChildItem -Path C:\ -Recurse -Include *.log,*.evtx -ErrorAction SilentlyContinue | Where-Object {$_.Length -gt 100MB} | Select-Object FullName,Length,LastWriteTime | Export-Csv -Path C:\temp\biglogs.csv -NoTypeInformation。

2、打开TreeSize Free，点击“File”→“Import CSV”，选择刚生成的biglogs.csv文件。

3、导入后，TreeSize将所有路径解析为虚拟节点，点击任一节点右侧的“+”号展开其父级目录结构。

4、在展开视图中，右键点击最高层级共祖文件夹（如C:\Windows\Logs），选择“Scan now”重新执行完整扫描。

5、扫描完毕后切换至“Treemap”，聚焦该父目录下的子矩形分布，识别出真正主导空间占用的核心日志子目录。

今天关于《TreeSize分析Windows日志方法【实用】》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于treesize的内容请关注golang学习网公众号！