可通过Windows事件查看器查看系统、应用程序及安全日志,支持筛选、导出.evtx文件、启用Shell操作日志,并用PowerShell提取登录事件。
如果您需要了解电脑在运行过程中发生的系统事件、应用程序错误或安全相关活动,则可以通过内置的日志查看器工具访问详细的记录信息。以下是使用 Windows 系统自带事件查看器查看电脑使用日志的具体操作方法:
一、通过事件查看器打开系统日志
Windows 事件查看器是系统内置的诊断工具,用于收集和显示操作系统、应用程序及安全模块生成的日志条目。它将日志分为多个通道,包括“系统”、“应用程序”和“安全”,便于按类别筛选查看。
1、按下 Win + R 组合键,打开“运行”对话框。
2、在输入框中键入 eventvwr.msc,然后按回车键。
3、等待事件查看器窗口加载完成,左侧导航栏中展开“Windows 日志”节点。
4、依次点击“系统”、“应用程序”、“安全”等子项,右侧窗格将显示对应类别的日志列表。
二、使用筛选功能定位特定日志
默认情况下,事件查看器会显示全部日志条目,数量庞大且混杂。启用筛选可快速定位与用户操作、登录行为或软件启动相关的记录,提升查阅效率。
1、在右侧日志列表空白处右键单击,选择“筛选当前日志”。
2、在“事件级别”区域勾选 信息 和 警告(如需追踪常规使用行为)。
3、在“事件来源”下拉菜单中选择 WinLogon 或 User32,以查看用户登录/注销事件。
4、点击“确定”,界面仅保留匹配条件的日志条目。
三、导出指定时间段内的使用日志
为便于归档或进一步分析,可将某一时段内产生的日志保存为 .evtx 文件。该格式支持跨设备导入,并保留原始时间戳与事件ID。
1、在事件查看器左侧导航栏中,右键单击目标日志类型(例如“系统”),选择“属性”。
2、记下“最大日志大小”和“日志文
件路径”字段中的位置,如 %SystemRoot%\System32\Winevt\Logs\System.evtx。
3、返回日志列表,右键单击任意条目,选择“将所有事件另存为…”。
4、在保存对话框中选择“事件查看器事件日志(.evtx)”格式,指定保存路径并确认。
四、启用详细跟踪日志(启用Shell日志)
标准事件日志不记录桌面程序启动、窗口切换等交互细节。启用“Shell”日志后,系统将在“应用程序和服务日志 > Microsoft > Windows > Shell > Operational”中生成用户界面级操作记录。
1、在事件查看器左侧导航栏中,展开“应用程序和服务日志 > Microsoft > Windows”。
2、找到并右键单击 Shell,选择“查看 > 启用日志”。
3、刷新后展开“Shell > Operational”,即可看到包含 Explorer.exe 启动、任务栏按钮点击等细粒度事件。
4、若日志未自动出现,可手动触发一次资源管理器重启:在任务管理器中结束“Windows 资源管理器”进程,再点击“文件 > 运行新任务”,输入 explorer.exe 并确认。
五、使用PowerShell命令快速提取登录日志
PowerShell 提供了比图形界面更灵活的日志查询能力,尤其适合批量提取用户登录、注销及远程会话事件,无需打开事件查看器界面。
1、以管理员身份运行 PowerShell。
2、执行以下命令获取最近24小时内的登录事件:
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624; StartTime=(Get-Date).AddHours(-24)} | Select TimeCreated, Message
3、若需导出结果至CSV文件,追加管道命令:
| Export-Csv C:\LoginEvents.csv -Encoding UTF8
4、检查输出文件,其中“Message”字段包含登录账户名、登录类型(如交互式、远程桌面)及工作站名称等关键字段。
