windows系统错误日志可通过事件查看器、powershell、疑难解答日志、bsod内存转储及注册表启用五种方式查看:事件查看器筛选“错误”级别日志;powershell导出csv格式错误事件;疑难解答日志存于reportarchive路径;windbg分析.dmp文件获取stop代码;注册表修改autologger启动详细追踪。
如果您在使用Windows系统过程中遇到异常行为或系统故障,系统通常会自动生成错误代码并记录到事件日志中。以下是查看Windows系统错误日志与记录的多种方法:
一、使用事件查看器查看错误日志
事件查看器是Windows内置的诊断工具,可集中显示系统、安全、应用程序等各类日志,其中“系统”和“应用程序”日志包含大量错误代码及详细时间戳、来源模块和事件ID。
1、按 Win + R 打开运行对话框,输入 eventvwr.msc 并回车。
2、在左窗格展开“Windows 日志”,依次点击“系统”和“应用程序”节点。
3、在右侧操作面板点击“筛选当前日志”,在“事件级别”中勾选“错误”和“严重”,点击“确定”。
4、在结果列表中,查找“事件ID”列中标有红色感叹号图标的条目,双击打开可查看完整错误代码、描述及“详细信息”选项卡中的XML原始数据。
二、通过命令行导出错误事件记录
使用PowerShell可批量筛选并导出指定时间段内的错误事件,便于离线分析或归档,尤其适用于服务器环境或需比对多次故障的场景。
1、以管理员身份运行PowerShell。
2、执行以下命令导出过去24小时内所有错误事件:Get-WinEvent -FilterHashtable @{LogName='System','Application'; Level=2; StartTime=(Get-Date).AddHours(-24)} | Export-Csv -Path "$env:USERPROFILE\Desktop\ErrorLog.csv" -NoTypeInformation。
3、检查桌面生成的 ErrorLog.csv 文件,用Excel打开即可按“ID”“TimeCreated”“Message”列排序分析。
三、启用并查看Windows疑难解答日志
当运行“疑难解答”功能(如网络、音频、蓝屏)时,系统会生成结构化日志文件,路径固定且含完整错误上下文,包括触发条件、检测步骤及失败模块名称。
1、完成一次疑难解答后,在文件资源管理器地址栏粘贴并访问:%ProgramData%\Microsoft\Windows\WER\ReportArchive。
2、按修改日期排序,查找名称中含 AppCrash 或 KernelFault 的文件夹。
自从百度屏蔽淘宝客网站、淘宝抛弃淘宝客之后,个人站长集体陷入了恐慌之中。此时,什么值得买网的异军突起引起了广大个人站长的极大关注。做一个什么值得买一样的导购网站成了众多个人站长的一致心愿! TP-COUPON 导购系统 即是让个人站长实现此心愿的绝佳选择! 欢迎个人站长选用。V1.1版 更新记录:1.修正请求时查询淘宝店铺错误的bug2.删除一些无用的代码
3、进入对应文件夹,打开扩展名为 .wer 的文本文件,搜索关键词 Error Code 或 0x 开头的十六进制值,即为具体错误代码。
四、检查BSOD内存转储文件中的错误代码
蓝屏死机(BSOD)发生后,系统默认保存内存转储(minidump),其中包含导致崩溃的驱动模块、堆栈跟踪及STOP错误代码,是定位硬件或驱动级故障的核心依据。
1、打开文件资源管理器,导航至:%SystemRoot%\Minidump\。
2、确认该目录下存在以 Mini 开头、扩展名为 .dmp 的文件。
3、下载并安装微软官方工具 WinDbg Preview(Microsoft Store可获取),以管理员身份运行。
4、在WinDbg中点击“文件”→“打开崩溃转储文件”,选择最新 .dmp 文件,加载完成后在命令窗口输入:!analyze -v,回车执行。
5、在输出结果中定位 BUGCHECK_CODE 和 BUGCHECK_PARAM1 行,其值即为关键错误代码(如 0x0000007E、0x000000D1)。
五、通过注册表启用详细错误日志记录
默认情况下,部分底层组件(如服务控制管理器、即插即用管理器)仅记录简要信息;修改注册表可强制其写入完整错误上下文,包括调用堆栈和参数值。
1、按 Win + R 输入 regedit,导航至:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System。
2、在右侧找到 Start 项,双击将其数值数据修改为 1(若为0则表示禁用)。
3、继续导航至:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Application,同样将 Start 值设为 1。
4、重启计算机后,再次触发异常操作,返回事件查看器观察“系统”和“应用程序”日志中新增的详细条目,特别注意“任务类别”列为 Detailed Trace 的事件。
