Windows事件日志分析工具介绍，零基础入门到精通，收藏这一篇就够了

披荆斩棘的GG

于 2025-06-07 10:36:47 发布

阅读量916

点赞数 12

CC 4.0 BY-SA版权

文章标签： windows web安全网络安全

本文链接：https://blog.csdn.net/Button12138/article/details/148492041

前言

在 Windows 操作系统中，系统日志扮演着至关重要的角色，它们存放于 C:\Windows\System32\winevt\Logs 目录下。此目录中的文件以 .evtx 格式保存，这是一种高效的二进制结构，旨在支持快速查询和可靠的日志记录。系统日志不仅涵盖了操作系统核心组件和安装的应用程序的运行状态，还包括了详细的故障信息和安全相关活动，如登录尝试、权限更改等。

因此，它们对于管理员来说是不可或缺的资源，用于故障排查、性能优化以及确保系统的安全性。通过分析这些日志，IT 人员能够识别潜在的问题根源，跟踪系统健康状况，并采取预防措施来保护组织的信息资产。

本文将带你了解三种windows系统日志的查看和分析方式：

事件查看器 (Event Viewer)

微软提供了“事件查看器”工具，它允许用户图形化地浏览和管理这些日志，简化了复杂数据的理解过程。

1、打开事件管理器

按下Win + R键，打开“运行”对话框。输入eventvwr或eventvwr.msc，点击确定或回车。

2、查看日志事件

3、查找

4、筛选

5、自定义视图

自定义视图按特定标准筛选事件日志并保存筛选记录，可以更高效地管理和分析Windows系统的事件日志，快速定位和解决系统问题。

6、连接其他计算机

事件查看器不仅可以显示本地计算机的日志，还可以配置为收集来自网络中其他计算机的日志。

7、日志事件导出

右键点击你想要导出的日志或在右侧菜单栏，选择“将所有事件另存为”，然后选择保存路径和文件格式，即可完成导出。

命令行工具 (wevtutil)

1、打开命令行窗口

按下Win + R键，打开“运行”对话框。输入cmd，点击确定或回车。

2、基本命令

获取wevtutil的帮助信息wevtutil /？

3、使用案例参考

查看系统日志：

wevtutil qe system

查看安全日志：

wevtutil qe security

查看系统日志内事件ID为XXXX的事件的详细信息，并以文本格式显示在命令行窗口中：

wevtutil qe system /q:*[System/EventID=XXXX] /f:text

PowerShell (Get-WinEvent)

1、打开PowerShell

按下Win + R键，打开“运行”对话框。输入powershell，点击确定或回车。

2、基本参数

**-**LogName <String[]>：指定要查询的事件日志的名称。例如，System、Application 或 Security。
-MaxEvents <Int64>：指定要返回的最大事件数。如果不指定此参数，则返回所有匹配的事件。
-ComputerName <String>：指定要从中检索事件的远程计算机的名称。默认值是本地计算机。
-Credential <PSCredential>：指定用于连接到远程计算机的凭据。
-ProviderName <String[]>：指定要查询的事件提供程序的名称。
-Path <String[]>：指定要查询的事件日志文件的路径。这通常用于直接访问存储在文件系统上的事件日志文件。
-Oldest：指定返回的事件应按从最旧到最新的顺序排序。默认情况下，事件按从最新到最旧的顺序返回。
-ListLog <String[]>：列出可用的事件日志。可以使用通配符（*）来匹配多个日志。
-ListProvider <String[]>：列出可用的事件提供程序。提供程序是生成事件日志条目的实体，如应用程序或服务。
-FilterXPath <String>：使用 XPath 查询从一个或多个日志中选择事件。XPath 是一种在 XML 文档中查找信息的语言。
-FilterHashtable <Hashtable[]>：使用哈希表查询来筛选事件。哈希表可以包含多个键值对，用于指定筛选条件，如 LogName、ProviderName、Id、Level、StartTime、EndTime 等。
-FilterXml <XmlDocument>：使用结构化的 XML 查询从一个或多个事件日志中选择事件。这通常涉及在事件查看器中创建自定义视图，然后复制生成的 XML 查询。