分析系统日志定位电脑故障方法
导航
文章目录
- 分析系统日志定位电脑故障方法
- 导航
- 一、 访问日志文件
- 二、 核心分析步骤(快速定位故障)
- 1. 筛选关键事件级别
- 2. 聚焦故障时间范围
- 3. 识别关键事件来源和ID
- 4. 解读事件详情
- 5. 关联分析事件链
- 三、 针对常见故障的快速定位表
- 四、 高级技巧与工具
- 我的一些话
一、 访问日志文件
- 直接打开:
- 右键点击
.evtx文件 > “打开方式” > 选择“事件查看器”。
- 右键点击
- 通过事件查看器:
- 按
Win + R输入eventvwr.msc回车。(或者按下win+x,再按下v进入事件查看器) - 点击顶部导航栏的操作> 打开保存的日志,选择你的
.evtx文件;若是自己的电脑,则路径为“Windows 日志” ,选择应用程序或者系统
- 按
二、 核心分析步骤(快速定位故障)
1. 筛选关键事件级别
- 错误(Error):红色图标,表示严重问题(如服务崩溃、驱动故障)。
- 警告(Warning):黄色图标,表示潜在问题(如磁盘空间不足)。
- 关键(Critical):红色感叹号,表示系统致命错误(如突然关机)。
- 操作:
- 在右侧操作面板点击“筛选当前日志”。
- 勾选
<Error>,<Warning>,<Critical>,点击“确定”。
2. 聚焦故障时间范围
- 如果知道故障发生的大致时间:
- 在筛选器设置中指定时间段(例如故障前 30 分钟到故障后 10 分钟)。
- 排序:点击“日期和时间”列标题,按时间倒序排列(最新事件在最上面)。
3. 识别关键事件来源和ID
- 来源(Source):指明产生事件的组件(如
Application Hang,Disk,Service Control Manager)。 - 事件ID(Event ID):唯一标识特定事件类型。
- 重点关注来源:
- Application Error:应用程序崩溃。
- Application Hang:程序无响应。
- Disk:磁盘错误(预示硬盘故障)。
- DriverFrameworks-UserMode:驱动问题。
- Kernel-Power:意外关机(41号事件)。
- Service Control Manager:服务启动/停止失败。
- WHEA-Logger:硬件错误(CPU/内存等)。
- BugCheck:蓝屏死机(BSOD)信息。
4. 解读事件详情
- 双击事件打开属性窗口。
- 关键信息位置:
- 常规选项卡:描述错误详情(含错误代码)。
- 详细信息选项卡:查看 XML 格式的原始数据(含更多技术参数)。
- 重点关注描述中的关键词:
Failed,Crash,Unresponsive,Timeout,Corrupt,Access denied,Not found,Bugcheck code(蓝屏代码如0x0000007B)。- 错误代码:如
0xc0000005(内存访问冲突),0x80070002(文件未找到)。
5. 关联分析事件链
- 故障往往是连锁反应:一个错误可能导致后续多个错误。
- 例如:磁盘错误(Event ID 7/11)> 系统服务启动失败 > 应用程序崩溃。
- 操作:
- 找到最严重的错误(如蓝屏、关键错误)。
- 查看该错误之前的警告和错误事件(可能揭示根本原因)。
- 查找相同来源或相关服务的事件。
三、 针对常见故障的快速定位表
| 故障类型 | 关键事件来源/ID | 分析重点 |
|---|---|---|
| 蓝屏死机 (BSOD) | BugCheck (事件ID 1001) | BugcheckCode字段(如 0x124=硬件故障) |
| 意外关机/重启 | Kernel-Power (事件ID 41) | 检查是否是断电/强制关机,还是系统崩溃导致 |
| 应用程序崩溃 | Application Error (事件ID 1000/1001) | 故障模块名称(如.dll或.exe) |
| 系统卡顿/无响应 | Application Hang (事件ID 1002) | 挂起的程序名称 |
| 磁盘问题 | Disk (事件ID 7, 11, 15, 52) | 涉及磁盘编号(如Disk 1)和错误类型 |
| 驱动故障 | DriverFrameworks-UserMode (事件ID 10110/10111) | 驱动名称和错误代码 |
| 服务启动失败 | Service Control Manager (事件ID 7000/7023/7034) | 服务名称和失败原因(依赖服务、权限等) |
| 硬件错误 | WHEA-Logger (事件ID 1/18/45) | 处理器/内存通道等硬件标识符和错误类型 |
| 网络问题 | Tcpip / Dhcp-Client / DNS Client | 错误代码(如0x80072746=端口冲突) |
四、 高级技巧与工具
命令行工具 (
wevtutil):- 导出日志:
wevtutil epl System C:\SystemBackup.evtx - 查询特定事件:
wevtutil qe System /q:"*[System[(Level=2)]]" /f:text
- 导出日志:
PowerShell 分析:
powershell
Get-WinEvent -Path "C:\Logs\System.evtx" -MaxEvents 50 | Where-Object { $_.Level -in 1,2,3 } | Format-List TimeCreated, Id, ProviderName, Message日志分析工具:
- Windows Event Viewer(内置):基础分析。
- Event Log Explorer(第三方):更强大的筛选和图表功能。
- LogParser(微软免费工具):用 SQL 语法查询日志。
在线资源辅助:
- 进入微软Learn站内:https://learn.microsoft.com/zh-cn/ ,搜索 “Event ID [ID] + Source + 关键词”(如 “Event ID 1001”或者“事件 ID 1001”)。
- 参考微软文档:
- 附录 L:要监视的事件(适用于: Windows Server 2025, Windows Server 2022, Windows Server 2019. Windows Server 2016):https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/plan/appendix-l–events-to-monitor
- Windows 事件(适用于: Windows Server 2022、Windows Server 2019、Windows Server 2016、Azure Stack HCI、版本 21H2 和 20H2):https://learn.microsoft.com/zh-cn/windows/win32/events/windows-events
- 故障转移群集系统日志事件(适用于:Windows Server 2022、Windows Server 2019、Windows Server 2016、Azure Stack HCI、版本 21H2 和 20H2):https://learn.microsoft.com/zh-cn/previous-versions/troubleshoot/windows-server/failover-clustering-system-log-events
我的一些话
我觉得是没有必要特意去使用一些在线资源去搜寻事件ID,一个是日志文件本就是一个起辅助作用的东西,在定位故障方面使用vscode或者WinDbg分析dmp作用比日志文件大;
其次,高级技巧与工具,我也并没有深入去使用,你大可当拓展视野(一般就是用系统自带的事件查看器就满足基本使用了)
最后,定位故障是一件需要耐心和细心的工作,这篇文章希望能为你提供一些解决问题的思路
