事件查看器是一个 Microsoft 管理控制台 (MMC) 管理单元,可用于浏览和管理事件日志。它是用于监视系统的运行状况以及在出现问题时解决问题的必不可少的工具。
使用事件查看器可以执行以下任务:
查看来自多个事件日志的事件
将有用的事件筛选器另存为可以重新使用的自定义视图
计划要运行以响应事件的任务
创建和管理事件订阅
应用程序日志
应用程序日志包含由应用程序或程序记录的事件。例如,数据库程序可在应用程序日志中记录文件错误。程序开发人员决定记录哪些事件。
安全日志
安全日志包含诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如,如果已启用登录审核,则对系统的登录尝试将记录在安全日志中。
安装程序日志
安装程序日志包含与应用程序安装有关的事件。
系统日志
系统日志包含 Windows 系统组件记录的事件。例如,在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。系统组件所记录的事件类型由 Windows 预先确定。
ForwardedEvents 日志
导出自定义视图的步骤
1. 启动事件查看器。
2. 在控制台树中,选择要导出的自定义视图。
3. 在“操作”窗格中,单击“导出自定义视图”。
4. 在“另存为”对话框中,选择文件夹,输入所导出文件的“文件名”,然后单击“保存”。
导出和存档事件日志的步骤
1. 启动事件查看器。
2. 在控制台树中,导航到要存档的日志。(只能是自定义的视图)
3. 在“操作”菜单上,单击“将事件另存为”。
4. 在“文件名”中,输入存档的日志文件的名称。
5. 在“保存类型”中,选择文件格式,然后单击“保存”。
6. (可选)如果不希望在其他计算机上查看事件日志信息,请在“显示信息”对话框中接受“没有显示信息”的默认值。
7. (可选)如果希望在其他计算机上查看事件日志信息,请在“显示信息”对话框中单击“这些语言的显示信息”。
8. (可选)如果希望采用不同的语言查看事件日志信息,请选中“显示所有可用的语言”复选框。
9. (可选)选中要包括语言信息的语言复选框。
10. 单击“确定”。
使用命令行导出和存档事件日志的步骤
1. 若要打开命令提示符,请单击“开始”,在“开始搜索”框中键入 cmd,然后按 Enter。
2. 若要将日志导出至文件,请键入以下命令:
wevtutil epl <LogName> <FileName.evtx>
3. 若要存档包含显示信息的日志,请键入以下命令:
wevtutil al <FileName.evtx> [/l:<LocaleString>]
管理事件日志;
事件是指OS中发生的那些显著的需要用户或管理员加以注意的操作,
用于管理事件日志的windows服务称为windows event log服务:
应用程序日志:%systemRoot%\system32\winevt\logs\application.evtx.