Win7系统中查看系统日志的方法

Windows日志位于计算机管理的事件查看器中，用于存储来自旧版应用程序的事件以及适用于整个系统的事件。

Win7系统的Windows日志包括五个类别，分别为应用程序日志、安全日志、系统日志、安装程序日志和转发事件日志。

应用程序日志包含由应用程序记录的事件安全日志包含系统的登录、文件资源的使用以及与系统安全相关的事件系统日志包含 Windows 系统组件记录的事件安装程序日志包含与应用程序安装有关的事件转发事件日志用于存储从远程计算机收集的事件。

下面就来看看如何查看Windows日志吧。

1、 右键单击桌面的或开始菜单的'“计算机”，选择"管理"

2、 接着d出的就是“计算机管理”窗口，依次展开“事件查看器”-“Windows日志”，下拉目录中即是前面说到的五类Windows日志。

3、 在“windows日志”目录下，点击任一种，便可以查看相关日志了。

4、另外，还可以通过控制面板来实现，大致为控制面板-系统和安全-管理工具—查看事件日志。

Windows日志主要提供给专业人员分析系统存在的问题和产生问题的原因，对于普通用户，Windows日志有时可能毫无价值，而且占用C盘空间。如果系统正常平稳运行，可一段时间清理一次，大部分安全软件和系统优化软件都提供Windows日志清理功能。

如果你只是想查看一下，从昨天关机到今天开机之间有没有人使用我的计算机，那么使用“查日志”的方法就可以了。在“开始”菜单的运行”中输入“eventvwr.msc”，打开事件查看器，在左侧窗口中选择“系统”，从右侧系统事件中查找事件ID为6005、6006的事件（事件ID号为6005的事件表示事件日志服务已启动，即开机，同理事件ID：6006表示关机），它们对应的时间就分别是开机时间和关机时间

如果你觉得从这么多事件中找开关机事件太费事，你可以使用“筛选”来使内容简洁。在事件查看器的“查看”菜单中选择“筛选”选项，在属性对话框中选择“筛选器”选项卡，并在其中勾选“信息”、“警告”、“错误”三项，在“事件来源”下拉列表中选择“eventlog”，单击“确定”按钮后，系统事件中的内容就少了很多，我们可以轻易找到最近的开关机时间。

如果你依旧觉得太费事，那只好使用必杀技了。在“开始”菜单中的“运行”中输入“C:\WINDOWS\schedlgu.txt”，在打开的schedlgu.txt文件中有“任务计划程序服务”已启动于和“任务计划程序服务”已退出于的时间，分别对应着开机和关机时间，是不是很方便呢？

天天备案也不难

如果你想每一次开关机都能清楚地记录在案，那可以用“脚本+批处理”的方法。不过你要亲自动手了，我们使用“脚本+批处理”的方式来实现。只需在开机、关机脚本上添加两个记录时间的批处理命令，让它们随系统启动或关闭记录当时的时间到C:\aaa.txt文件中。

首先新建两个文本文档，分别用来记录开机和关机信息，输入以下的命令，然后另存为“.bat”文件就可以了。其中开机批处理（start.bat）如下：

@echo off

>>c:\aaa.txt echo ***开机记录***

>>c:\aaa.txt echo.

>>c:\aaa.txt echo %date% %time:~0,-3% %username%

>>c:\aaa.txt echo.

>>c:\aaa.txt echo **************

>>c:\aaa.txt echo.

>>c:\aaa.txt echo.

而关机批处理(shutdown.bat)命令只要把start.bat中的“***开机记录***”改为“***关机记录***”即可，其余不变。将上面的两个批处理命令做好后，在“开始”菜单中的“运行”中输入gpedit.msc，打开组策略，依次找到“计算机配置→windows设置→脚本(启动和关机)”，双击“启动”，在属性对话框中单击“添加”按钮，并在“脚本名”一栏中填入“start.bat”的绝对路径，单击“确定”按钮（如图2）。同理设置好关机脚本。这样可以了，开关机做个实验，打开C:\aaa.txt文件，是不是记录了你刚才的关机和开机时间呢？

---