什么是事件查看器

Posted 2023-04-06

参考技术A 分类: 电脑/网络
解析:

论是普通计算机用户，还是专业计算机系统管理员，在操作计算机的时候都会遇到某些系统错误。很多朋友经常为无法找到出错原因，解决不了故障问题感到困扰。事实上，利用Windows内置的事件查看器，加上适当的网络资源，就可以很好地解决大部分的系统问题。

一、事件查看器可以做什么

微软在以Windows NT为内核的操作系统中集成有事件查看器，这些操作系统包括Windows 2000NTXP2003等。事件查看器可以完成许多工作，比如审核系统事件和存放系统、安全及应用程序日志等。

系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误，我们不但可以了解到某项功能配置或运行成功的信息，还可了解到系统的某些功能运行失败，或变得不稳定的原因。

安全日志中存放了审核事件是否成功的信息。通过查看这些信息，我们可以了解到这些安全审核结果为成功还是失败。

应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误，我们可以了解到哪些应用程序成功运行，产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。

点击“开始→运行”，输入eventvwr，点击“确定”，就可以打开事件查看器。

查看事件的详细信息：

选中事件查看器左边的树形结构图中的日志类型(应用程序、安全性或系统)，在右侧的详细资料窗格中将会显示出系统中该类的全部日志，双击其中一个日志，便可查看其详细信息。在日志属性窗口中我们可以看到事件发生的日期、事件的发生源、种类和ID，以及事件的详细描述。这对我们寻找解决错误是最重要的。

搜索事件：

如果系统中的事件过多，我们将会很难找到真正导致系统问题的事件。这时，我们可以使用事件“筛选”功能找到我们想找的日志。

选中左边的树形结构图中的日志类型(应用程序、安全性或系统)，右击“查看”，并选择“筛选”。日志筛选器将会启动。

选择所要查找的事件类型，比如“错误”，以及相关的事件来源和类别等等，并单击“确定”。事件查看器会执行查找，并只显示符合这些条件的事件。

二、利用查看器解决系统问题

查到导致系统问题的事件后，我们需要找到解决它们的办法。查找解决这些问题的方法主要可以通过两个途径：微软在线技术支持知识库以及Eventid网站。

微软在线技术支持知识库(KB)：

微软知识库的文章是由微软公司官方资料和(微软最有价值专家)撰写的技术文章组成，主要解决微软产品的问题及故障。

当微软每一个产品的Bug和容易出错的应用点被发现以后，都将有与其对应的KB文章分析这项错误的解决方案。

微软知识库的地址是：support.microsoft，在网页左边的“搜索(知识库)”中输入相关的关键字进行查询，事件发生源和ID等信息。当然，输入详细描述中的关键词也是一个好办法，如果日志中有错误编号，输入这个错误编号进行查询也并不是一个坏主意。

Eventid网站：

要查询系统错误事件的解决方案，还有一个更好的地方：Eventid网站，地址是eventid。这个网站由众多微软MVP(最有价值专家)主持，几乎包含了全部系统事件的解决方案。

登录网站后，单击“Search Events(搜索事件)”链接，出现事件搜索页面。根据页面提示，输入Event ID(事件ID)和Event Source(事件源)，并单击“Search”按钮。Eventid的系统会找到所有相关的资源及解决方案。最重要的是，享受这些解决方案是完全免费的。当然，Eventid的付费用户则能享受到更好的服务，比如直接访问针对某事件的知识库文章集等。

事件查看器可用来解决操作系统故障

无论是普通计算机用户，还是专业计算机系统管理员，在操作计算机的时候都会遇到某些系统错误。很多朋友经常为无法找到出错原因，解决不了故障问题感到困扰。事实上，利用Windows内置的事件查看器，加上适当的网络资源，就可以很好地解决大部分的系统问题。

一、事件查看器可以做什么

微软在以Windows NT为内核的操作系统中集成有事件查看器，这些操作系统包括Windows 2000\NT\XP\2003等。事件查看器可以完成许多工作，比如审核系统事件和存放系统、安全及应用程序日志等。

系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误，我们不但可以了解到某项功能配置或运行成功的信息，还可了解到系统的某些功能运行失败，或变得不稳定的原因。

安全日志中存放了审核事件是否成功的信息。通过查看这些信息，我们可以了解到这些安全审核结果为成功还是失败。

应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误，我们可以了解到哪些应用程序成功运行，产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。

点击“开始→运行”，输入eventvwr，点击“确定”，就可以打开事件查看器，它的界面如图1所示。

查看事件的详细信息：

选中事件查看器左边的树形结构图中的日志类型（应用程序、安全性或系统），在右侧的详细资料窗格中将会显示出系统中该类的全部日志，双击其中一个日志，便可查看其详细信息，如图2。在日志属性窗口中我们可以看到事件发生的日期、事件的发生源、种类和ID，以及事件的详细描述。这对我们寻找解决错误是最重要的。

图 2

搜索事件：

如果系统中的事件过多，我们将会很难找到真正导致系统问题的事件。这时，我们可以使用事件“筛选”功能找到我们想找的日志。

选中左边的树形结构图中的日志类型（应用程序、安全性或系统），右击“查看”，并选择“筛选”。日志筛选器将会启动，如图3。

二、利用查看器解决系统问题

查到导致系统问题的事件后，我们需要找到解决它们的办法。查找解决这些问题的方法主要可以通过两个途径：微软在线技术支持知识库以及Eventid网站。

微软在线技术支持知识库（KB）：

微软知识库的文章是由微软公司官方资料和MVP（微软最有价值专家）撰写的技术文章组成，主要解决微软产品的问题及故障。

当微软每一个产品的Bug和容易出错的应用点被发现以后，都将有与其对应的KB文章分析这项错误的解决方案。

微软知识库的地址是：support.microsoft，在网页左边的“搜索（知识库）”中输入相关的关键字进行查询，事件发生源和ID等信息。当然，输入详细描述中的关键词也是一个好办法，如果日志中有错误编号，输入这个错误编号进行查询也并不是一个坏主意。

Eventid网站：

要查询系统错误事件的解决方案，还有一个更好的地方：Eventid网站，地址是eventid。这个网站由众多微软MVP（最有价值专家）主持，几乎包含了全部系统事件的解决方案。

登录网站后，单击“Search Events（搜索事件）”链接，出现事件搜索页面。根据页面提示，输入Event ID（事件ID）和Event Source（事件源），并单击“Search”按钮。Eventid的系统会找到所有相关的资源及解决方案。最重要的是，享受这些解决方案是完全免费的。当然，Eventid的付费用户则能享受到更好的服务，比如直接访问针对某事件的知识库文章集等。

其他资源：

事实上，在网络中我们还可以找到许多有用的资源，当系统出现问题时可以参考使用。比如diyinside 网站的“微软新闻组常见问题”栏目，就提供了许多有用的疑难解答小贴士。

另外，微软中文社区（microsoft/china/munity）提供在线的免费技术支持和定期的专家聊天，只要稍加利用，都可以成为解决系统疑难杂症的宝贵资源。

总体来说，在Windows操作系统中提供的事件日志机制为我们找出系统问题提供了快捷的方法，而官方和第三方等多种网络资源使我们能够迅速地解决这些问题。通过本文，希望读者能够充分利用这些资源，在以后系统出现问题时，能够自主地将它们解决。节省时间，节省金钱。

如何高效查询事件查看器

【中文标题】如何高效查询事件查看器

【英文标题】：How to efficiently query the event viewer

【发布时间】：2012-10-31 15:21:42

【问题描述】：

我可以轻松地写入事件日志并读取其内容。但是，我希望能够仅查询事件查看器的子集，主要是我在特定时间范围内创建的源。

据我所知，可以按机器名称和来源进行过滤（由于某种原因，我还没有让它工作，它总是从应用程序日志中返回所有内容），但不能按日期和时间。

我可以使用 LINQ 轻松做到这一点。但是，它仍然会查看整个应用程序日志，因此需要一段时间。随着时间的推移，我猜事件查看器中的事件数量会越来越大，所以我看不到会变得更好。

有没有办法通过比通常参数更多的参数来查询事件查看器以加快进程，还是我必须“忍受它”？

谢谢

【参考方案1】：

我使用 WMI 进行了一些测试，当我得到一小部分结果时，结果证明这是一个足够好的解决方案。

Dim oMag As New Management.ManagementObjectSearcher("SELECT User, Type,TimeGenerated,Message FROM Win32_NTLogEvent WHERE LogFile = 'Application' AND SourceName = 'Journalisation' AND TimeGenerated >= '20121031180000.000000-000' AND TimeGenerated <= '20121031181500.000000-000'")
Dim oMagColl As Management.ManagementObjectCollection = oMag.Get

For Each oMagObj As Management.ManagementObject In oMagColl
    Msgbox(oMagObj("User") & vbTab & oMagObj("Type") & vbTab & oMagObj("TimeGenerated") & vbTab & oMagObj("Message"))    
Next

我觉得奇怪的是日期时间格式。此外，有时感觉整个事情都无缘无故地花费了很长时间。

无论如何，我认为这是一个很好的解决方案。