可通过事件查看器和PowerShell查看Windows 11设备加密或BitLocker日志:一、在事件查看器中筛选“安全”和“系统”日志,按Microsoft-Windows-BitLocker、Winlogon等来源及信息/警告/错误级别过滤;二、用PowerShell执行Get-WinEvent命令精准检索BitLocker、Winlogon(ID 4800/4801)及TPM(ID 500)事件;三、将“安全”与“系统”日志导出为.evtx文件用于离线分析;四、重点关注ID 4800(会话锁定)、4801(会话解锁失败)、260(加密完成)、261(解密完成)、720(TPM所有权清除)等关键事件。
如果您在Windows 11中启用了设备加密或BitLocker,但不确定其运行状态、密钥使用情况或是否发生解密/加密异常,则可通过系统日志追踪相关事件。以下是查看加密相关日志的具体操作步骤:
一、通过事件查看器定位加密事件日志
Windows将设备加密与BitLocker操作统一记录在“安全”和“系统”日志中,关键事件由Winlogon、BitLocker Drive Preparation Tool、Microsoft-Windows-BitLocker等来源生成,需针对性筛选。
1、按下 Win + R 打开“运行”对话框。
2、输入 eventvwr.msc 并按回车启动事件查看器。
3、在左侧导航栏中展开 Windows 日志,依次点击 安全 和 系统。
4、在右侧操作面板中点击 筛选当前日志。
5、在筛选窗口中,于“事件来源”下拉菜单中选择 Microsoft-Windows-BitLocker 或 Winlogon;同时勾选 信息、警告、错误 级别。
6、点击“确定”,列表将仅显示与加密状态变更、密钥保护、TPM验证失败等直接相关的条目。
二、使用PowerShell精准检索加密事件
PowerShell可快速提取指定来源的加密日志条目,避免人工翻阅海量记录,尤其适用于查找密钥备份失败、自动解锁异常或TPM初始化错误等场景。
1、右键点击“开始”按钮,选择 终端(管理员)。
2、执行以下命令查看最近10条BitLocker相关事件:
Get-WinEvent -FilterHashtable @{LogName='Security'; ProviderName='Microsoft-Windows-BitLocker'; Level=2,3,4} -MaxEvents 10
3、若需查找设备加密(Device Encryption)启用记录,运行:
Get-WinEvent -FilterHashtable @{LogName='System'; Source='Winlogon'; ID=4800,4801} -MaxEvents 20
4、如遇TPM验证失败导致加密中断,可筛选ID为 500 的事件:
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='TPM Base Services'; ID=500}
三、导出加密日志用于离线分析
导出加密日志可保留完整时间戳、事件ID、任务类别及XML详细数据,便于提交给IT支持人员复现问题,或使用第三方工具进行结构化解析。
1、在事件查看器左侧导航树中,右键单击 Windows 日志 > 安全。
2、选择 将所有事件另存为。
3、在保存窗口中,将文件类型设为 .evtx(推荐),并命名如 BitLocker_Security_Log_20260111.evtx。
4、重复步骤1–3,对 系统 日志执行相同导出操作,确保覆盖Winlogon与TPM服务事件。
四、识别关键加密事件ID及其含义
加密过程中的每类行为均对应唯一事件ID,直接反映操作结果。确认这些ID有助于快速判断是配置问题、TPM异常还是密钥同步失败。
1、事件ID 4800:表示用户会话已锁定,可能触发BitLocker自动锁定策略。
2、事件ID 4801:表示用户会话已解锁,若伴随“无法验证恢复密钥”提示,说明自动解锁失败。
3、事件ID 260(来源 Microsoft-Windows-BitLocker):表示驱动器已完成加密,含加密算法与密钥保护方式。
4、事件ID 261:表示驱动器已完成解密,常出现在禁用BitLocker后。
5、事件ID 720:表示BitLocker检测到TPM所有权已被清除,需重新初始化TPM并恢复密钥。
