Windows 11提供五种系统日志查看方法:一、图形界面通过事件查看器浏览“Windows日志→系统”;二、用筛选功能按级别、ID、时间精准定位事件;三、PowerShell命令如Get-EventLog提取错误或指定ID日志;四、运行eventvwr.msc快速启动;五、cmd中systeminfo命令辅助查启动次数与时间。
一、通过事件查看器图形界面查看系统日志
事件查看器是Windows 11原生集成的日志管理工具,提供结构化视图以浏览系统运行过程中记录的关键事件,包括启动、驱动加载、服务状态变更及硬件异常等。所有日志按类别归档于“Windows 日志”节点下,其中“系统”日志集中记录操作系统核心组件活动。
1、按下 Win + X 组合键,打开快速链接菜单。
2、在弹出菜单中点击 事件查看器,启动该工具。
3、在左侧窗格中依次展开 Windows 日志 → 系统。
4、右侧主窗口将列出全部系统日志条目,按时间倒序排列;可双击任意条目查看详细信息,包括事件ID、来源、任务类别及完整描述文本。
二、使用筛选功能定位特定系统事件
当系统日志条目数量庞大时,手动滚动查找效率低下。筛选功能支持按事件级别、时间范围、事件ID或来源精确匹配目标记录,适用于快速识别蓝屏、启动失败、服务崩溃等典型问题线索。
1、在事件查看器中,确保已选中左侧的 系统 或 应用程序 日志节点。
2、在右侧“操作”面板中点击 筛选当前日志。
3、在弹出窗口中勾选所需级别(如 错误 和 警告),并可输入事件ID(例如蓝屏常用ID 41 或开机服务ID 6005)。
4、设置开始与结束时间范围,覆盖疑似故障发生时段,点击 确定 应用筛选条件。
三、通过PowerShell命令行提取系统日志
PowerShell具备直接调用Windows事件日志API的能力,适合执行批量查询、导出或脚本化分析。以管理员身份运行可确保访问全部日志源,避免因权限不足导致部分条目不可见。
1、右键点击“开始”按钮,选择 终端(管理员) 或 Windows PowerShell(管理员)。
2、执行以下命令获取最近10条系统错误日志:Get-EventLog -LogName System -EntryType Error -Newest 10。
3、若需检索特定事件ID(如关机事件ID 6006),运行:Get-EventLog -LogName System -InstanceId 6006。
4、按回车后,结果以表格形式输出,含时间、来源、事件ID及消息摘要字段。
四、借助运行命令快速启动事件查看器
运行对话框提供最简路径直达事件查看器,无需依赖开始菜单或搜索功能,特别适用于界面响应迟缓或资源管理器异常时的应急访问方式。
1、同时按下 Win + R 键,调出“运行”对话框。
2、在输入框中键入 eventvwr.msc,然后按回车或点击“确定”。
3、事件查看器窗口立即启动,左侧导航树默认展开至根节点。
4、展开 Windows 日志,点击 系统 即可进入日志浏览视图。
五、通过命令提示符查询系统启动历史
systeminfo命令虽不直接显示完整日志,但能快速输出包含系统启动次数、上次启动时间、安装日期等关键运行统计信息,作为事件查看器日志的辅助验证手段。
1、以管理员身份运行命令提示符:按 Win 键搜索 cmd,右键选择 以管理员身份运行。
2、在窗口中输入命令:systeminfo | findstr "启动"(仅显示含“启动”的行)。
3、若需完整系统摘要,直接执行:systeminfo。
4、等待命令执行完毕,观察输出中的 系统启动时间 与 系统启动次数 字段。
