Windows查看日志的命令

1. 使用事件查看器（Event Viewer）

这是最直观的图形化方式：

eventvwr.msc

在“开始”菜单搜索 事件查看器 或运行上述命令即可打开。

2. 使用 PowerShell 查看日志

PowerShell 提供了强大的日志查询功能：

查看最近10条系统日志：

Get-WinEvent -LogName System -MaxEvents 10

查看应用程序日志：

Get-WinEvent -LogName Application -MaxEvents 10

筛选特定事件ID（例如事件ID 1074 表示关机/重启）：

Get-WinEvent -FilterHashtable @{LogName='System'; ID=1074}

3. 使用 CMD（命令提示符）

通过 wevtutil 工具导出或查询日志：

列出所有日志名称：

wevtutil el

导出系统日志到文件：

wevtutil epl System C:\system_log.evtx

查看某日志的详细信息（需管理员权限）：

wevtutil gli System

4. 常见日志类型说明

• 系统日志（System）：记录操作系统组件的日志，如驱动加载失败、服务启动等。
• 应用程序日志（Application）：由应用程序或程序写入，如软件崩溃、更新失败等。
• 安全日志（Security）：记录登录、权限变更等安全相关事件（需启用审核策略）。

5. 注意事项

• 部分命令需要以管理员身份运行才能查看完整日志。
• 安全日志默认可能未启用，需在“本地安全策略”中配置审核策略。
• 日志文件通常位于 C:\Windows\System32\winevt\Logs\。