【原创科普】定位问题 有效求助——Windows事件查看器（2015-9-10更新，改进搜索）

翼风Fly

又是一篇长文。。。其实并不复杂，而且也十分有效，希望需要的小伙伴们能耐心看完

我在帮助大家解决问题时，会见到这样的内容：

“这东西打不开怎么办！！！”
“Office怎么安装不上？！”……

遇到错误不知如何解决甚至如何搜索？
遇到错误不知如何有效求助？

其实Windows早已默默的将诸多信息记录成日志，以便你排查问题。当然，因为是记录日志，想追踪窗口之类的就甭想了（请见这里）；而且也并非所有内容都能记录——不过绝大部分我们需要的都有记载，足够使用。

希望能抛砖引玉，各位大神觉得有需补充完善之处敬请不吝赐教。

快速上手

本文以Win10 10240为基础，其他系统略同（XP以及更老的系统也差不多一样）。

打开

只介绍我经常用的办法：

• 右击“此电脑”——管理——系统工具——事件查看器 （因系统不同，右击的图标名称可能名为“我的电脑”/“计算机”/“这台电脑”，这些大家应该都懂~）
• Windows+R 运行：eventvwr
  

就是这个了：

操作

• 左侧：展开“Windows 日志”，根据情况选择“应用程序日志”/“系统日志”/“安装程序日志（Win7：Setup，Win10：设置）”；
• 右侧：选择查看其中的错误/警告等信息，在下方即可看到日志记载的信息。
  【注意】虽然“常规”中显示的记录可能只有一行，但是错误信息可能有多行，所以建议将下方分隔栏向上适当拖动，以使下方更多显示，否则可能会认为错误信息只有一行（见上图）；
  

有效搜索

• 若是Windows的错误，首先建议在微软中国（https://www.microsoft.com/zh-cn）搜索，语言不限，一般能找到答案。；其次是专业问答社区搜索，比如我们卡饭，还有远景等众多论坛；
• 卡饭的搜索，或者说大部分Discuz!的搜索都很坑，我们可以用搜索运算符解决。
  
  • 百度/必应 搜索格式：
    关键字 -(卡饭教程) site:kafan.cn
    如：
    事件查看器 -(卡饭教程) site:kafan.cn
    
    
  • Google搜索格式：
    关键字  -卡饭教程 -软件_交流_教程_分享 site:kafan.cn
    如：
    事件查看器  -卡饭教程 -软件_交流_教程_分享 site:kafan.cn
  • 【注意】不同元素要有空格分隔；site为指定网站内搜索，后面不能是www或http开头；后面的-(卡饭教程)等字词是为了去掉万恶的卡饭教程的干扰；关键字、site等元素位置不限。
  • 搜狗/好搜/有道（实质为好搜）这三个搜索引擎因没有完善的运算机制，上述方法不可用。
    
  
  感谢43楼sishentib反馈。
  PS：目前在卡饭内Google搜索“事件查看器”，我这帖子排第一，这排位才叫准 ；→_→ 再看百度那边。。。不过百度的中文筛选比Google强。
• 根据经验来看，技术内容建议用Google全网搜索来获取最精准的答案，Google的使用方式不便多述，请遵循版规及政策自行解决。
  

有效筛选

因为信息量较多，所以我是先建立一套自定义视图，方便查看。右击“自定义视图”——“创建自定义视图”，“事件级别”除了“信息”以外全部勾选；
“事件日志”勾选“windows日志”中的“应用程序日志”、“系统日志”、“设置”三个类别，起个名字，确定OK~
以后一旦遇到问题，直接看自定义视图，能方便一些。

实际举例

程序无法运行
http://bbs.kafan.cn/thread-1848983-1-1.html

该帖中，楼主的问题是QQ游戏不能玩，属于“应用程序”类别。通过事件查看器发现错误，其中（尤其在详细信息页面）发现关键字“Microsoft.VC90.DebugCRT”可知是VC运行库的问题，卸载重装VC运行库后问题解决。

无法正常开机
开机进入安全模式，运行msconfig，选择“引导”，勾选：“引导日志”，确定重启。重启必定是失败的，但此时已经详细记录了到哪里失败以及原因，重新进入安全模式，打开事件查看器，即可找到失败原因，然后在网上搜索相关解决方式。

查看蓝屏原因
首先要进行设置。右击 计算机/此电脑 等 —— 高级系统设置 —— 启动和故障恢复 —— 勾选 “将事件写入系统日志”，之后就可以在事件查看器查看蓝屏原因了。不过信息相对较少，若了解更多，请阅读：【原创科普】蓝屏后，你能做到的快速入门解决方法
一些莫名奇妙的关键一般也是源于蓝屏，例如：http://bbs.kafan.cn/thread-1565546-1-1.html


无法修复Office
楼主曾经莫名遇到的问题，Office打不开，修复不成功。打开事件查看器后，发现是 找不到注册表的某个键 ，于是自己打开注册表编辑器，手动创建了一个，问题解决。

根据事件ID解决问题
有些错误需要根据 事件ID 列提供的ID解决，会更有效
例如：http://bbs.kafan.cn/thread-1851015-1-1.html
该例中，事件 ID是100。把ID放入该网站搜索：http://www.eventid.net/
结合事件来源: Microsoft-Windows-Diagnostics-Performance
网站给出的方案有检查硬盘的方式，所以建议楼主执行磁盘检查。
详细具体的分析案例
欢迎看置顶帖17楼，一个不错的案例。我在18楼（已经置顶）写出了具体分析排错方式，供大家参考。

有效求助

在哪里求助
如果根据上面的方式发现自己依然不知道如何排除错误，可以在卡饭/远景等论坛，或者软件官方论求助解答。微软产品求助也建议在微软社区（http://answers.microsoft.com/zh-hans）

求助需要的信息
你要做的：打开事件查看器，将其中相关的错误复制上来。

• 右击相关的错误——复制——将详细信息复制为文本
• 【不推荐】左侧右击对应栏目——将所有事件另存为
  这种方法体积较大，只有在上一条方法不行的情况下再这样。
  

接下来，将内容粘贴到求助帖上。同时告知：

• Windows 版本（右击 我的电脑/计算机/这台电脑/此电脑 ——属性）
• 现象
• 之前做过些什么
• 为了解决这个错误，你做过哪些，但是失败了
  

范例
http://bbs.kafan.cn/thread-1565546-1-1.html
置顶帖17楼（至少要告知Windows版本与详细日志）

详细了解

事件 ID


也是一个非常重要的解决问题方式，将ID在EventID（英文）中搜索，一般可有效搜索解决方式。
http://www.eventid.net/
微软说明：

标识特定事件类型的编号。描述的第一行通常包含事件类型的名称。例如，6005 是在启动事件日志服务时所发生事件的 ID。此类事件的描述的第一行是“事件日志服务已启动”。产品支持代表可以使用事件 ID 和来源来解决系统问题。

日志保存位置
即使系统崩溃，也能找到日志存储位置。右击左侧的日志分类——属性，会发现默认都在%SystemRoot%\System32\Winevt\Logs\中（一般是C:\Windows\System32\Winevt\Logs\）。目前楼主新装的Win10，日志刚好100MB。不过占用空间不会太大，刚才在属性里就能设置每个日志的最大大小，默认主要项目每项最大20MB，“应用程序和服务日志”一般1028KB。



以下信息来自微软：

事件日志是记录计算机上重要事件的特殊文件，例如，用户登录到该计算机时或者 程序遇到错误时。一旦发生这些类型的事件，Windows 都会将事件记录到事件日志中，您可以使用事件查看器查看。

建议最好以管理员身份运行事件查看器，否则部分日志可能无法查看。（引自微软Windows帮助：事件日志中显示什么信息？ （事件查看器））


下面信息主要来自微软TechNet，根据情况有所修改补充。
若需了解更多信息，请转到： https://technet.microsoft.com/zh-cn/library/cc766042.aspx


先看一下左侧的分类结构：

• 自定义视图
  使用方式上文说过，用来根据我们需要对显示信息进行定制。
• Windows 日志
  早期版本的 Windows （如XP）主要有这几种：应用程序、安全和系统日志。Win7/Vista 之后有所增加：设置（Setup）和 已转发事件。
  
  • 应用程序日志
    应用程序日志包含由应用程序或程序记录的事件。例如，数据库程序可在应用程序日志中记录文件错误。程序开发人员决定记录哪些事件。
  • 安全日志
    安全日志包含诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如，如果已启用登录审核，则对系统的登录尝试将记录在安全日志中。
  • 安装程序日志（Win7：Setup，Win10：设置）
    安装程序日志包含与应用程序安装有关的事件。
  • 系统日志
    系统日志包含 Windows 系统组件记录的事件。例如，在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。系统组件所记录的事件类型由 Windows 预先确定。
  • 已转发事件
    用于存储从远程计算机收集的事件。若要从远程计算机收集事件，必须创建事件订阅。若要了解有关事件订阅的信息，请参阅事件订阅。
    
• 应用程序和服务日志
  应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或组件的事件，而非可能影响整个系统的事件。
  此类别的日志包括四个子类型：管理日志、操作日志、分析日志和调试日志。
  如出现错误的软件在这里有专门的分类，就方便很多了。
  

事件级别

重要程度由低到高排列：

• 信息。指明应用程序或组件发生了更改，如操作成功完成、已创建了资源，或已启动了服务。不过根据楼主经验，这个分类偶尔也会记录一些错误或者失败信息，在其他事件级别找不出错误就要从这里寻找。另外，也可以通过其详细了解程序的运行轨迹，方便排查问题。
• 警告。指明出现的问题可能会影响服务器或导致更严重的问题（如果未采取措施）。
• 错误。指明出现了问题，这可能会影响触发事件的应用程序或组件外部的功能。
• 严重  ——【优先解决】。指明出现了故障，导致触发事件的应用程序或组件可能无法自动恢复。
  

其他补充

• 右侧分类标题可单击后排序，或右击后分组。
• 其他常见信息汇总（基于XP，其他系统略同）：https://support.microsoft.com/zh-cn/kb/308427
• 更多信息请自行搜索：事件查看器
  随便搜的两个：
  http://jingyan.baidu.com/article/0964eca23201c88285f53604.html
  http://www.jb51.net/os/windows/WinXP/28888.html
  还有诸如某度百科等等~
  
  

若有幸转载，望著名出处。本文可能陆续有所更新调整。


广告一下

喜欢更多科普的卡饭们~近期我正在抽时间写一个常见问题解决的系列，本文为第二弹~
第一弹：【原创科普】蓝屏后，你能做到的快速入门解决方法
第三弹：【科普+求完善】定位窗口来源，解决疑难问题 ——— 永别吧弹窗君！！！

系列内容陆续完成中，欢迎关注~

jackxicy

win10有个错误，不知道你们有没有，不知道怎么解决
”同步主机_Session1 服务意外地终止，这种情况已经出现了 1 次。以下的修正操作将在 10000 毫秒内运行: 重新启动服务。“
- System

  - Provider

   [ Name]  Service Control Manager
   [ Guid]  {555908d1-a6d7-4695-8e1e-26931d2012f4}
   [ EventSourceName]  Service Control Manager

  - EventID 7031

   [ Qualifiers]  49152

   Version 0

   Level 2

   Task 0

   Opcode 0

   Keywords 0x8080000000000000

  - TimeCreated

   [ SystemTime]  2015-09-06T16:27:10.376069700Z

   EventRecordID 3870

   Correlation

  - Execution

   [ ProcessID]  616
   [ ThreadID]  916

   Channel System

   Computer DESKTOP-PQ021SE

   Security


- EventData

  param1 同步主机_Session1
  param2 1
  param3 10000
  param4 1
  param5 重新启动服务
   4F006E006500530079006E0063005300760063005F00530065007300730069006F006E0031000000


--------------------------------------------------------------------------------

二进制数据:


以字为单位

0000: 006E004F 00530065 006E0079 00530063
0010: 00630076 0053005F 00730065 00690073
0020: 006E006F 00000031   


以字节为单位

0000: 4F 00 6E 00 65 00 53 00   O.n.e.S.
0008: 79 00 6E 00 63 00 53 00   y.n.c.S.
0010: 76 00 63 00 5F 00 53 00   v.c._.S.
0018: 65 00 73 00 73 00 69 00   e.s.s.i.
0020: 6F 00 6E 00 31 00 00 00   o.n.1...

翼风Fly

jackxicy 发表于 2015-9-7 22:49
win10有个错误，不知道你们有没有，不知道怎么解决
”同步主机_Session1 服务意外地终止，这种情况已经出 ...

说一下这个问题的分析过程
日志的关键信息

• 文字叙述：同步主机_Session1 服务意外地终止，这种情况已经出现了 1 次。以下的修正操作将在 10000 毫秒内运行: 重新启动服务。
  由此可知，是一个名为 同步主机_Session1 的服务出现了问题。
• 名称：[ Name]  Service Control Manager
  错误由”服务控制管理器“（直译）提供。
• 日志ID：EventID  7031
  这也是比较重要的排错信息来源。
  

解决思路

1、直接搜索问题名称
根据含义来看，是有一个服务莫名停止。不过这个服务名我没见过，于是搜索服务名：同步主机_Session1
在远景论坛发现相似解决方案：http://bbs.pcbeta.com/viewthread-1598810-1-1.html

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
找到OneSyncSvc、OneSyncSvc_Session1、UserDataSvc、UserDataSvc_Session1将start值改为4

也就是说通过注册表关闭服务。
尤其当看到日志下方“以字节为单位”瞬间无语：
OneSyncSvc_Session1
终于知道“同步主机”服务指的是什么鬼。。。有时候不翻译比翻译好多了。。。
这货是OneDrive的吧？



2、EventID进一步查看
为了进一步确认，在http://www.eventid.net/上继续搜索。ID是7031 ，名称是Service Control Manager ，搜索得出：http://www.eventid.net/display-e ... tno-465-phase-1.htm
其中也说：

This error is not specific to the <service name> service but it is generated by the Service Control Manager when it detects that a specific service terminated ungracefully. In order to troubleshoot this error look for other events, logs, etc., that are specific to the service in question.

简单来说，这个错误的原因并不单纯来自于报错并停止的<服务名称>，需要通过其他日志错误来进一步分析。
其中罗列的一些服务错误列表，也可以发现大量的错误都要通过其他错误日志定位。
所以建议继续看一下其他错误以进一步排除

jzh100

点个赞

villana

请问怎么手动清空所有windows日志

翼风Fly

villana 发表于 2015-8-29 19:14
请问怎么手动清空所有windows日志

在左侧分类中，只要不是文件夹形式的分类，都可以右击清除
如果想清理掉所有日志，在%SystemRoot%\System32\Winevt\Logs\里删掉吧——不过，没试过，不知道会不会有副作用。。。

thelord

很不错哦
希望能首尾呼应，把一开始的两个问题作为例子，用这个方法定位解决一下就好了

翼风Fly

thelord 发表于 2015-8-29 19:58
很不错哦
希望能首尾呼应，把一开始的两个问题作为例子，用这个方法定位解决一下就好了

本来是想这样的
然而我重装了系统没有样本了
找时间我再继续折腾折腾。。。

villana

翼风Fly 发表于 2015-8-29 19:29
在左侧分类中，只要不是文件夹形式的分类，都可以右击清除
如果想清理掉所有日志，在%SystemRoot%\Syste ...

如果要查看某个项目的日志可以从 \Winevt\Logs\里直接打开日志文件是吧？觉得这样比从事件查看器里找快一点。

翼风Fly

villana 发表于 2015-8-29 20:23
如果要查看某个项目的日志可以从 \Winevt\Logs\里直接打开日志文件是吧？觉得这样比从事件查看器里找快一 ...

当然可以，只不过会在“保存的日志”中
但是除非需要把自己的日志给别人，否则不推荐用这种方法，还不如给C:\Windows\System32\eventvwr.exe或eventvwr.msc创建快捷方式，不过没必要吧。。。右击 此电脑 就挺便捷的了

扬帆起航

来捧楼主场

villana

翼风Fly 发表于 2015-8-29 21:21
当然可以，只不过会在“保存的日志”中
但是除非需要把自己的日志给别人，否则不推荐用这种方法，还不如 ...

不是，可能我的硬盘性能有点低，我的意思是打开事件查看器因为要加载所有日志在我的机器上速度有点慢，而我只需要经常看某一个条目，因此直接打开日志文件稍微快点。