闽人

读取和查找日志文件

我们可以借助Power Shell命令行直接查看系统中保存的所有日志文件。以管理员身份启动Powe r Sh e l l，输入“Wev tUtil el”命令并回车（每输入一条命令均需回车确认，下同），即可查看到本机中所有的日志文件。继续执行“Wev tUtil el |measure-object”命令，还可以统计日志的总数（图2）。

我们有时需要从众多日志文件中查找指定的日志，特别是查询其中各大类日志下不分框的小类。比如在系统出现故障时要从“系统”日志框内的“错误”日志中查找出错的原因。假设故障是在2021年9月1日之后出现的，以管理员身份启动Power Shell，执行“Get-E v e n t L o g - L o g N a m e S y s t e m-EntryType Error -After 2021-09-01”命令，就能查看到该日期之后的所有错误日志（图3）。

命令解释：

这里的“S ystem”对应图1中的“Win d ows日志→系统”、“Error”对应图1右侧窗格中“级别”下的“错误”、“-After”表示指定日期后的日志。如果需要查看其他日期后的日志，请自行更改命令中的相关参数。

从图3中可以看出，系统默认保存的日志内容非常多。如果系统故障是最近出现的，我們可以直接查看最近记录的日志文件，如执行“Get-EventLog -LogName System -Entr yType Error-newest 5”命令（数字5可随意修改），可以查询到最近记录的5条日志（图4）。

备份和删除日志文件

大量的旧日志文件还会占用过多的系统空间，我们也可以使用PowerShell来备份和删除不需要的日志文件。

以管理员身份启动Powe r Sh e l l，执行“get-eventlog -list”命令。在随即打开的返回结果界面中，“M a x（K）”表示日志占用的最大空间、“E n t r i e s”表示保存的日志数量。比如在笔者的电脑中，“Security”日志保存了33026条记录（图5）。

如果自己的电脑最近未出现安全方面的问题，那么可以删除“S e c u r i t y”日志，在上述的窗口中执行“ We v t U t i l c lsecurity /bu：d：＼security _back.evtx”命令（如果要备份和清除其他的日志，替换其中的“Security”代码即可），即可将当前系统中的“Sec ur i t y”日志先备份到“D：＼security _back.evt x”，再删除“事件查看器”中的全部“安全日志”。操作完后打开“事件查看器”，可以看到“安全日志”中仅保留了一条日志清除记录（图6）。以后如果想查看刚刚备份的日志，只要双击“D：＼security _back.evt x”，打开“事件查看器”后依次展开“保存的日志→Security”即可。

通过上述的命令只是删除某一类别的日志文件，如果想删除本机中保存的所有日志文件，执行“Get-WinEvent -ListLog * -Force| % { Wevtutil.exe cl $_ .LogName }”命令即可（图7）。不过有些日志文件需要System账户权限才能删除，对于那些无法删除的日志，我们可以借助“psexec.exe”启动“事件查看器”，然后根据图7所示窗口显示的无法删除日志的名称，在“事件查看器”中找到对应的日志，右击它并选择“清除日志”就可以了（图8）。