在windows中如何使用事件查看器进行故障的排查

1. 操作步骤

• 按下键盘上的 win + R 打开“运行”对话框，然后输入 eventvwr 并按下“回车”键。
  
• 在事件查看器窗口中，展开Windows 日志(位于左侧的导航窗格中)，并且在Windows 日志下，可以看到多个日志文件夹，包括应用程序、安全、Setup（设置）、系统等。
  
• 选择相关日志文件夹(如系统或应用程序)，浏览右侧的日志条目。这些条目会按照时间顺序排列，显示各种事件和错误。
  
• 双击你感兴趣的事件条目，可以查看详细信息，包括事件 ID、事件来源、描述等。
  
• 根据日志条目中的信息进行故障排査，例如查找错误代码、事件 ID 以及相关时间点，进一步调查问题的可能原因。

Tips

1. 日志类型

• 应用程序：记录由应用程序生成的事件。
• 安全：记录安全相关的事件，包括登录尝试和资源访问等(需要特别权限才能访问)。
• Setup：记录与系统设置相关的事件。
• 系统：记录 Windows 系统组件生成的事件。

2. 事件分类

• 信息：一般来说是系统或应用程序的正常运作信息。
• 告警：表示可能出现问题，需要注意但并不是致命的。
• 错误：说明系统或应用程序出现了问题，可能需要立即处理

3. 事件ID和来源

        每个事件都有一个唯一的事件 ID和来源，这些信息对于故障排査很有帮助，事件ID可以帮助我们快速在微软知识库或互联网上找到相关的解决方案。另外,来源指明了是哪个组件或应用程序生成了此事件，可以更精准地定位问题发生点。

4. 导出日志

        在排查复杂问题时，有时需要向更加专业的技术人员或支持部门寻求帮助。这时可以通过事件查看器的“导出”功能，将日志保存为文件，然后发送给对方进行进一步分析。
        在事件查看器中，右键点击日志类别(如“系统”)，选择“保存所有事件为.”，保存为 evtx 文件格式