如何使用事件查看器解决 Windows 问题

Windows 计算机的底层有很多功能。使用事件查看器，可以跟踪 Windows 进程帮助您诊断没有明显原因的烦人问题。

然而，由于其过时的用户界面和糟糕的布局，事件查看器使用起来可能会很混乱。以下是有关使用事件查看器解决任何 Windows 问题的指南。

开始使用事件查看器

Windows 操作系统在运行时“记录”每个重要活动。事件查看器只是一个应用程序，可帮助您在一个位置访问阅读这些日志，而不是在 Windows 资源管理器中手动打开每个文本文件。

通过在“开始”菜单中搜索该应用来打开事件查看器。

应用程序打开后立即最大化，因为您需要全屏视图才能查看所有可用信息。

了解界面

事件查看器并没有直观的界面。该工具一开始可能有点令人困惑，所以让我们逐一检查所有元素。

左窗格

运行事件查看器时，您会注意到该窗口分为三个窗格。左侧在文件夹视图中对事件进行分类，让您快速导航到特定类型的事件日志。

日志主要有四种类型：

自定义视图：自定义视图类别，顾名思义，允许您创建自定义日志选择，而不是坚持使用标准类别。例如，默认的管理事件视图从所有管理日志中收集严重、错误和警告事件。

Windows 日志：此文件夹包含有关 Windows 系统服务的所有日志。除非您想详细了解操作系统的运行情况，否则它并不是特别有用。

应用程序和服务日志：这些日志由各种服务生成，从非关键 Windows 服务到第三方应用程序。您无需浏览此列表，因为任何错误和警告都已收集在“管理事件”视图中。.

订阅：默认情况下此类别不可用，并且在大多数情况下是不必要的。它的唯一用途是从远程计算机收集事件，使其成为高级系统管理工具。

中间窗格

这是实际列出日志的位置。默认情况下，它显示事件的概述和摘要，而不是任何特定类别。

第一部分（可能也是最重要的）是管理事件摘要。它列出了过去一周的重要系统事件，让您快速了解系统的运行状况。这些事件还按每小时、每天和每周的时间范围进行分类。

本节中有五种事件类型：

严重：任何重大系统问题都会出现在此类别中。在正常运行的计算机中，此类别应该为空，但如果您发现此类事件，请注意它。

错误：任何正常运行的计算机都存在错误。仅仅因为此类别中列出了事件并不意味着某些事情一定是错误的。仅当相同的错误每天频繁出现时才是问题。

警告：当某些事情尚未真正出错时会生成警告，但可能表明可能存在问题。这包括磁盘空间不足或驱动程序配置不当等问题。

信息：此信息完全无害，因为它会记录计算机上的所有成功操作。来源通常是系统服务，但安全应用程序也经常出现。

审核成功：只要身份验证尝试成功，就会生成此类事件。这包括登录和其他安全措施，因此不要因为在每个时间范围内发现多个实例而感到惊慌。

审核失败：顾名思义，此事件类型包括失败的身份验证尝试。这是查看是否有人尝试通过网络连接或直接登录访问您的电脑的好方法。

右窗格

窗口的右侧面板包含您可以对所选项目执行的所有操作。操作会根据您选择的是文件夹还是事件而变化。.

您可以创建自定义视图、查看日志的属性，或保存选定的事件以便稍后查看，以及其他操作.

如何读取事件日志

打开视图并浏览事件日志非常简单，但如何理解所有这些信息呢？这是一个细分。

当您选择一个事件时，常规选项卡将打开，显示错误的简短摘要，后跟一堆信息字段：

日志名称：事件所属日志的名称。主要用于识别发生事件的 Windows 服务。

来源：通常与日志名称相同，因为它列出了事件的源应用程序。

事件 ID：每个事件都有一个唯一的事件 ID。此 ID 有助于从其他类似性质的事件中识别特定事件，即使它们是由同一进程生成的。

级别：这是决定事件优先级的标签。您已经在管理视图中看到了“错误”和“严重”等标签，这些标签就是从该字段中获取的。

用户：生成事件的用户帐户。对于诊断多用户系统中的问题很有用。

OP 代码：此字段应该在事件触发之前识别相关进程的活动，但实际上几乎总是默认为 Info。

已记录：事件的时间戳，包括日期。

任务类别：另一个字段，应该提供有关原始进程的附加信息，但大部分为空。

计算机：创建事件的 PC 的名称。当您使用单个系统时毫无用处，但在处理从网络计算机转发的事件时至关重要。

这似乎需要了解很多信息，但您不需要阅读所有字段。最重要的字段是级别和源。

通过“级别”，您可以判断事件的严重程度（其中“关键事件”最为重要），而“来源”则可以告诉您原始应用程序或组件。这可以让您找到和杀死有问题的进程。.