事件查看器最大的问题是它可能真的令人困惑-有很多警告、错误和信息性消息，在不了解它们的全部含义的情况下，您可以(错误地)假设您的计算机已损坏或被感染，而实际上没有任何错误。

事实上，技术支持诈骗者正在使用事件查看器作为其销售策略的一部分，以使困惑的用户相信他们的PC感染了病毒。他们引导您只按严重错误进行过滤，然后表现得很惊讶，因为您看到的都是严重错误。

学习如何使用和理解事件查看器是弄清PC运行情况和故障排除的关键技能。

了解界面

当您第一次打开事件查看器时，您会注意到它与Windows中的许多其他管理工具一样使用三窗格配置，尽管在本例中，右侧实际上有相当多有用的工具。

左侧窗格显示文件夹视图，您可以在其中找到所有不同的事件日志，以及可以同时使用多个日志中的事件进行自定义的视图。例如，Windows最新版本中的“管理事件”视图显示所有错误、警告和严重事件，无论它们来自应用程序日志还是系统日志。

中间窗格显示事件列表，单击它们将在预览窗格中显示详细信息-或者您也可以双击其中任何一个，将其拉到单独的窗口中，这在您查看一大组事件并希望在开始互联网搜索之前找到所有重要的事情时会很方便。

通过右侧窗格，您可以快速访问创建自定义视图、筛选甚至基于特定事件创建计划任务等操作。

当然，这些事件本身就是我们试图看到的，它们的用处可以是非常具体和显而易见的，你可以很容易地修复，也可以是非常含糊的信息，这些信息没有任何意义，你在谷歌上找不到任何信息。显示屏上的常规字段包含：

日志名称-在较旧版本的Windows中，所有内容都被转储到应用程序或系统日志中，而在较新的版本中，有数十或数百种不同的日志可供选择。每个Windows组件很可能都有自己的日志。 源-这是生成日志事件的软件的名称。当然，该名称通常不会与文件名直接匹配，但它是哪个组件执行此操作的表示形式。 事件ID-最重要的事件ID实际上可能会有点令人费解。如果您在Google上搜索“Event ID122”(您在下一个屏幕截图中可以看到)，那么您最终得到的信息不会非常有用，除非您还包括Source或应用程序名称。这是因为每个应用程序都可以定义自己的唯一事件ID。 级别-这会告诉您事件有多严重-信息只会告诉您某些东西已经更改，或者组件已经启动，或者有些东西已经完成。WARNING会告诉您可能出了问题，但这还不是很重要。Error告诉您发生了一些本不应该发生的事情，但并不总是世界末日。另一方面，Critical表示某处有故障，触发此事件的组件可能已崩溃。 用户-此字段告诉您是系统组件还是您的用户帐户正在运行导致错误的进程。这在查看东西时会很有帮助。 OpCode-理论上，此字段告诉您触发事件时应用程序或组件正在执行什么活动。然而，在实践中，它几乎总是说“Info”，几乎毫无用处。 计算机-在您的家庭台式机上，这通常只是您的PC的名称，但在IT世界中，您实际上可以将事件从一台计算机或服务器转发到另一台计算机。您还可以将事件查看器连接到另一台PC或服务器。 任务类别-此字段并不总是使用，但它最终基本上是一个信息性字段，告诉您有关事件的更多信息。 关键字-此字段通常不使用，通常包含无用信息。

经验法则是，您应该尝试按常规描述、事件ID和源、或这些值的组合进行搜索。

请记住，事件ID是唯一的…。对于每个应用程序。所以有很多重叠，你不能只搜索“事件ID122”，因为你会得到很多无稽之谈。

重要提示：事件日志中总是会有错误和警告，您无法解决所有问题。最重要的是使用事件查看器来解决您已经存在的问题，而不是尝试查找您还不知道的问题。

是的，你将需要使用你的谷歌技能来研究你不知道的事件。没有简单的神奇解决方案。

看到此对话框时，您可能会立即做一件事，就是单击更多信息链接…。问题是，它目前并没有带给你任何有用的东西。你只会在微软网站上的一个错误页面结束。

可怕的是，有8464人认为Page Not Found有帮助。

重新映射在线事件ID搜索以实际工作

由于某些原因，“更多信息：事件日志在线帮助”链接完全不适用于我们，但幸运的是，有一个很棒的注册表黑客可以用来解决这个问题。

我们要做的就是将注册表中的重定向URL更改为指向谷歌…。除了传递参数的方式之外，我们需要将其指向一个中间页面，该页面将解析出参数并形成正确的Google搜索URL。

出于本文的目的，我们在自己的服务器上放置了一个页面，欢迎您使用。如果您不想使用我们的服务器，本节末尾列出了一行PHP代码。

要进行此更改，请向下查看以下注册表项：

找到右侧的MicrosoftRedirectionURL值，然后将该值从默认值http://go.microsoft.com/fwlink/events.asp改为插入此值：

完成此操作后，单击Event Properties窗口中的链接将立即将您重定向到Google，其中已包含相关数据(事件ID、日志名和“application”，通常只显示Microsoft Windows)。

这是怎么回事？这非常简单-事件查看器将一组参数作为查询字符串参数添加到我们放入注册表的URL中。然后脚本提取这些参数并重定向到Google，将这些参数作为搜索项进行传递。

使用一个简单的PHP脚本，这就是我们用来处理重定向的方法。

Header(‘Location：http://google.com/search?q=Event ID’。$_GET[‘EvtID’]。“”。$_GET[‘EvtSrc’]。“”。$_GET[‘ProdName’])；

如果您愿意，您可以在您自己的服务器上托管相同的内容，或者您也可以使用我们服务器上的服务器。你说了算。

当心带有事件ID“问题解决方案”的互联网站点

有大量的网站会自动为每个事件ID生成页面，然后用无稽之谈填充它们。那就好了，除了很多这样的活动之外，没有太多其他的好结果。

如果你只需要下载一些免费分析的软件，这些网站就会提供解决问题的方案。在所有情况下，这些都是广告，而软件“解决方案”是一种欺诈。

没有可以解决所有事件日志问题的软件包。

使用筛选器和自定义视图

您可以创建一个仅显示您想要查看的事件的自定义视图，而不是遍历无数的自定义事件日志文件夹并试图找到您要查找的所有内容。

为了获得最佳结果，您可能希望只按您想要查看的特定内容(可能是严重、错误和警告)进行筛选，然后选择希望此视图查看的特定事件日志。不过，不要选择太多，因为它只会不起作用。

一旦您在视图中选择了想要的内容，系统将要求您为自定义视图命名，然后您可以使用它来仅查看您筛选的事件。对于处理充满无意义信息事件的海量日志来说，这是一种令人难以置信的好方法。

当然，使用内置的管理事件视图可能更简单，该视图显示每个主日志中的重要消息。

查看Windows诊断性能日志

当您进行故障排除时，有许多有趣的日志可供查看，但最有趣的日志之一是通过浏览文件夹找到以下位置的：

Microsoft\Windows\Diagnostics-Performance

这会产生一个事件日志，其中显示Windows内部记录的用于性能检查的所有内容-如果您的计算机启动比正常速度慢，Windows通常会有一个日志条目，并且通常会列出导致Windows启动速度变慢的组件。

值得注意的是，消息显示错误并不意味着世界末日，除非它经常出现。那你可能需要考虑一下。

修复之前的错误

对文章前面截图中的事件感到好奇吗？如果您收到消息“访问Windows Update上的驱动程序被策略阻止”，则解决方案非常简单。打开“控制面板”，搜索“驱动程序”，然后选择“更改设备安装设置”。

您将在下一个屏幕截图中注意到，此特定计算机被设置为不自动从Windows更新下载设备驱动程序。要解决问题并使更多消息显示在事件查看器中，您只需将单选按钮切换到“是，自动执行此操作”即可。

又好又简单。问题已解决，警告消息已解决。

将任务附加到事件

如果您在上一节“极客学校”课程中留心了，您可能还记得您可以根据事件ID创建Task Scheduler触发器-您也可以按照相反的方式执行相同的操作。右键单击任何任务，您都可以轻松地附加一个计划任务，以便在事件发生时运行。

您可能需要的其他功能

事件查看器还有几个您可能有兴趣使用的其他功能。对大多数人来说，只要看一遍清单，知道要找什么是很重要的。

左侧菜单中的订阅是企业环境中的一项主要功能，用于将事件从一台服务器转发到另一台服务器，以便您可以在一个位置管理所有事件。这需要运行Windows事件收集器和Windows远程管理服务。对于家庭用户，除了为了在您的测试系统上学习之外，您不应该弄乱它。

如果您右键单击左侧的项目，您将看到大量操作(通常与右侧窗格中的操作相同)。

您可以将日志中的所有事件保存出来供以后查看或在另一台PC上查看，也可以复制视图或将其导出为XML文件以导入到另一台计算机。