你得知道命令提示符是什么,它就是那个黑底白字的窗口，很多人觉得它很古老，不如图形界面点来点去方便，但对于查看系统事件日志这种系统底层的信息，命令提示符其实非常强大和快速，你不用在事件查看器里一层一层点开文件夹，也不用等图形界面慢慢加载成千上万条日志，你只需要输入一些简单的命令，就能直接得到你想要的结果。

要开始使用,第一步当然是打开命令提示符，有几种方法，最简单的是按下键盘上的 Windows 键 + R，会弹出“运行”对话框，在里面输入“cmd”，然后按回车，另一个方法是直接在Windows 11的开始菜单的搜索栏里输入“cmd”或“命令提示符”，然后点击运行它，为了能执行更多操作，我建议你用管理员身份运行，方法是在搜索到“命令提示符”后，不要直接点击，而是选择右侧的“以管理员身份运行”，这样你就有最高权限，可以查看所有日志。

好了,黑乎乎的窗口已经打开了，我们现在要用的核心命令是 wevtutil，这个命令名字是“Windows Event Utility”的缩写，它就是专门用来管理事件日志的工具，我们先从最简单的开始。

如果你想看看这台电脑里到底有多少种不同的日志分类,可以输入命令 wevtutil el 然后按回车。el 是 enum-logs 的缩写，意思就是列举所有日志，按下回车后，你会看到刷屏一样出现一长串日志名称，System”、“Application”、“Security”、“Setup”等等，这些就是事件查看器里你看到的那些文件夹，System是系统核心相关的事件，Application是应用程序相关的事件，Security是安全相关比如登录成功失败，Setup是和系统安装更新有关的事件。

知道了日志名称,我们就可以查看具体的日志内容了，最基本的查看命令是 wevtutil qe 后面跟上日志名称。qe 是 query-events 的缩写，意思是查询事件，我想看系统日志，就输入 wevtutil qe System 然后回车，你会发现屏幕上的文字飞快地滚动，最后停在了最底部，这是因为系统日志可能有很多条，它一次性全部显示出来了，你只能看到最后一部分。

我们需要学会控制显示的数量,这时候就要用到参数，一个非常有用的参数是 /c:，后面跟数字，表示数量，我只想看看系统日志里最新的5条记录，我就输入 wevtutil qe System /c:5，这样，它就只显示最新的5条，看起来就清楚多了。

显示出来的信息是密密麻麻的XML格式,包含了很多技术细节，不太容易阅读，我们希望看到更简洁、像事件查看器里那样的格式，这就要用到另一个参数 /f:text。f 是format（格式）的意思，把命令组合起来，变成 wevtutil qe System /c:5 /f:text，现在再回车，显示的结果就清晰多了，你会看到每个事件的发生时间、事件ID、级别（比如错误、警告、信息）、来源和描述，读起来容易多了。

光看最新的几条还不够,我们经常需要查找特定的问题，我的电脑最近老是蓝屏，我想看看系统日志里所有级别为“错误”的事件，这时候就需要用到查询过滤器了，这是命令提示符查看日志最强大的地方，过滤器的参数是 /q:，后面跟一个查询字符串。

查询字符串的写法有点讲究,但不难，它基本是这样的结构："*[系统属性 运算符 '值']"，举个例子，我要过滤出系统日志中所有级别为错误的事件，事件的级别在系统里叫“Level”，错误的值为“2”，运算符可以用等号“=”，所以完整的命令是：wevtutil qe System /f:text /q:"*[System/Level=2]"，运行这个命令，你就会看到系统日志里所有错误级别的记录，其他信息和警告就被过滤掉了。

除了按级别过滤,最常用的就是按事件ID过滤，你听说某个特定的问题会和事件ID 1001有关，你就可以专门查它，命令是：wevtutil qe System /f:text /q:"*[System/EventID=1001]"，这样，所有ID为1001的事件都会被列出来。

你还可以组合条件,我想查找应用程序日志中，来源是“Application Hang”并且级别是错误的事件，命令可以这样写：wevtutil qe Application /f:text /q:"*[System/Provider/@Name='Application Hang' and System/Level=2]"，这个看起来复杂一点，但逻辑很清楚，就是同时满足两个条件。

你可能会遇到日志非常大的情况,即使过滤了，结果还是很多，你可以把结果输出到一个文本文件里，然后慢慢看，这要用到输出重定向符号“>”，把系统日志中所有的错误输出到一个叫“errors.txt”的文件里：wevtutil qe System /f:text /q:"*[System/Level=2]" > C:\errors.txt，命令执行后好像没什么反应，但其实它已经在C盘根目录创建了一个errors.txt文件，你用记事本打开就能看到所有结果了。

再介绍几个有用的参数。/rd:true 表示结果按时间降序排列，也就是最新的在最前面，这是我们最常用的顺序。/c:10 可以和它配合，还有一个是查看日志的基本信息，比如日志文件有多大，创建时间等，命令是 wevtutil gl System，gl 是 get-log 的缩写。

掌握了这些基本命令,你就能摆脱图形界面的缓慢，快速精准地定位系统事件日志中的关键信息了，多练习几次，你就会发现它的效率之高，快速检查系统错误可以用 wevtutil qe System /f:text /c:5 /rd:true /q:"*[System/Level=2]"，这个命令能直接给你系统日志中最新的5个错误，希望这个指南对你有帮助。