系统管理🚀Win11日志查询方法：用CMD查看系统日志的详细操作步骤

✨为什么要用CMD查日志？

别看图形化的事件查看器点点鼠标很轻松,但当你需要快速筛选、远程操作或者批量导出日志时，CMD命令行才是隐藏的王者！尤其系统卡顿打不开界面时，一行命令就能救命🆘～

🛠️准备工作

1. 保证你的系统是Win11（Win10也通用～）
2. 直接按 Win + S 搜索“cmd” → 右键选择“以管理员身份运行”（没权限会报错！）
3. 准备好你要查日志的关键词（比如错误ID、时间段）

🚀三步搞定日志查询

❶ 基础命令：wevtutil qe

在CMD里输入这个核心命令,后面加参数就能查日志：

wevtutil qe System /c:3 /rd:true /f:text

• System：日志类型（换成Application=应用日志，Security=安全日志）
• /c:3：只看最近3条（数字随便改）
• /rd:true：按时间倒序（最新的在最前面！）
• /f:text：输出为文字格式（方便直接读）

💡试试看！屏幕上立马吐出最近3条系统日志～

❷ 高级筛选：按时间、错误级别抓日志

比如想查今天早上9点到现在所有的错误日志，这么写：

wevtutil qe System /rd:true /f:text /q:"*[System[(Level=2) and TimeCreated[@SystemTime>='2025-08-01T09:00:00']]]"

• Level=2：错误级别（1=紧急，2=错误，3=警告）
• 时间格式必须是YYYY-MM-DDTHH:MM:SS（别漏掉T！）
• 嫌麻烦？直接查过去1小时日志：把时间换成 (timediff(1)) 🕒

❸ 导出日志到文件：再也不用手动复制！

输入这行命令,直接把日志存成txt：

wevtutil qe Application /f:text > C:\log_export.txt

• 文件路径随便改（比如桌面：C:\Users\你的用户名\Desktop\log.txt）
• 导出后可以用记事本或者Excel打开慢慢分析～

💡运维人私藏小技巧

• 快速查某个软件的错误：把日志类型改成 Application，加上过滤器/q:"*[System[Provider[@Name='软件名']]]"
• 远程查其他电脑日志：加上参数 /r:远程电脑名（需要权限）
• 清空日志：wevtutil cl System（慎用！清空后找不回来😨）

❓常见问题

Q：命令输错了咋办？
A：直接按键盘↑键调出上次命令修改，不用重打！

Q：想查具体事件ID怎么搞？
A：在筛选条件里加 and EventID=ID号，比如查事件ID1001：

/q:"*[System[(EventID=1001)]]"

用CMD查日志乍一看有点Geek,但熟悉后效率翻倍！尤其是批量处理或者自动化脚本时——图形界面可比不了～下次系统报错不妨试试黑窗口，说不定一秒就定位到问题根源了！

（🤫小声说：服务器运维大佬都在用这招……）