我在事件查看器中创建了一个自定义视图。我从事件查看器中删除了自定义视图,自定义视图消失了,然后我再次启动事件查看器,但自定义视图又出现了。 Windows 10版本是1803。 的内容%ProgramData%\Microsoft\Event Viewer\Views\为:(ServerRoles目录)和View_0.xml。 View_0.xml包含: <?xml version="1.0" encoding="UTF-8"?> <ViewerConfig> <QueryConfig> &l...
无人值守的 PC 会不定期地唤醒。典型的“系统”事件日志序列如下基本上,我的问题是是否可以从中推断出任何东西。更具体地说, 事件的顺序有意义吗?(“从睡眠中恢复”事件发生在“时间改变”事件 8 秒之后。) “恢复”事件表明唤醒源是键盘,这有意义吗?(发生这种情况时附近没有人。) 事件日志序列(典型):... 12:04:28 服务控制管理器 TCP/IP NetBIOS Helper 服务已成功发送停止控制。 7:22:16 Kernel-General 系统时间已从 2016-02-11T05:04:28.050016900Z 更...
我想跟踪 PC 上的系统时间何时更改。通过查看事件查看器中的事件 ID 520,我可以找到它。但是当我在 Windows 中手动更改日期并查看事件查看器时,我发现单个日期更改有 4 个条目。 现在,在这 4 个条目中,最后一个条目有以下描述 The system time was changed. Process ID: 1932 Process Name: C:\WINDOWS\system32\rundll32.exe Primary User Name: nav Primary Domain: PC132 Primary Lo...
我刚刚安装了大量 Windows 更新(我使用的是 Windows 7 Ultimate 64 位),现在一些程序运行异常(无法打开、崩溃等) 我尝试使用事件查看器来诊断该程序,但是当我打开它时,双击图标后立即收到错误“Microsoft 管理控制台已停止工作”。 有什么方法可以让我找出问题所在吗?我有另一台 Windows 7 PC,我试图从它远程查看日志,但收到错误“RPC 服务器不可用”。我想启动该服务,但是哦,等等,我无法在“管理工具”中打开任何东西。 我不想重新安装 Windows,因为几个月前 Windows 更新破坏了我的显卡驱动程序后我...
我正在尝试查看某人笔记本电脑上的系统事件日志,发现它运行不正常。在安全模式下,加载事件查看器并单击系统,它告诉我“数据无效 (13)”。尝试清除日志并保存到磁盘,但我收到一条消息,告诉我参数不正确! 我认为其中可能有一些有用的信息,所以我试图挽救它,以找出这台笔记本电脑偶尔无法启动的原因。有人有什么建议吗?可以在 Linux livecd 中重建事件查看器吗? ...
应用程序日志保留的日志量不超过一天。我安装了 SQL Server 2019 和其他 DW 应用程序。我尝试重新启动 Windows 事件日志服务以及服务器。但似乎没有任何变化。到底发生了什么?我可以看到安全、设置和系统日志,但应用程序日志没有返回。 ...
最近,我不断发现 HyperV VM(MSSP 的漏洞扫描程序)处于“已停止”状态,而它不应该处于此状态,我想找出原因。我是一名正在慢慢过渡到系统管理员的支持人员,对 Windows 日志还不是很熟悉。我在事件查看器中找不到任何可以提示它停止的原因的信息。如何搜索/过滤特定 VM 的此事件? 值得补充的是,该虚拟机是在 Ubuntu 上运行的 Qualys。 ...
我正在尝试查询 Windows 11 事件日志以了解计算机的任何使用情况。我从某人获得 Windows UI 访问权限开始,因此我尝试了在 ServerFault 上找到的这个查询,但它显示的最新事件是 2024-02-28,而我几分钟前才解锁了机器。 <QueryList> <Query Id="0" Path="System"> <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (Event...
我刚刚查看了事件查看器,因为我的设备总是断开连接并重新连接,所以我试图找出这是否是软件问题,或者 USB 电缆中的电线是否弄乱了,然后我发现了一些非常奇怪的条目。这是在 Windows 10 Home 64 位系统上 Log Name: System Source: Service Control Manager Date: 2024-02-16 11:31:38 AM Event ID: 7040 Task Category: None Level: Information Keyword...
这个问题在过去几个月里一直让我抓狂。几乎每次我晚上将电脑置于休眠模式时,它都会立即重新启动。几次之后,它最终会保持休眠状态,但我总是必须这样做两三次。我禁止鼠标、以太网适配器和 Wifi 卡唤醒电脑,并禁用唤醒计时器。我探索了事件查看器,发现 Power-Troubleshooter 中的唤醒原因如下: The system has returned from a low power state. Sleep Time: 2024-02-14T01:35:04.973093300Z Wake Time: 2024-02-14T01:35...
我有很多这样的活动: Category: Microsoft.EntityFrameworkCore.Database.Command EventId: 20101 Executed DbCommand (2ms) [Parameters=[], CommandType='Text', CommandTimeout='30'] SELECT CASE WHEN EXISTS ( SELECT 1 FROM [dbo].[Reports] AS [r] WHERE [r].[status] = N'Qu...
想要将特定任务附加到 wifi 适配器断开连接事件,但需要(刚断开连接的)适配器标识(名称、guid 等)。不幸的是,它不存在于生成的 4004 事件中。可能存在多个 wlan 适配器,因此盲目地从系统中读取 wlan 适配器的名称并不是合适的解决方案。有没有办法将此(或其他)事件映射到相关的网络适配器或配置文件? - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="Microso...
昨晚我的两个外置硬盘被人从我的 Windows 10 笔记本电脑上手动拔掉了,大概是我室友干的,要不然就是我疯了/梦游了。我真的很好奇,我搜索了事件查看器,想找一些迹象,但我找不到。我在哪里可以找到这个 USB 设备被拔掉的事件?谢谢。 ...
如何使用从任务管理器获取的进程 ID 触发任务计划程序中的任务?有点类似于事件查看器中的事件 ID。 我的第一个解决方案是通过启用“审计进程跟踪”来使用指示进程创建的事件 ID,但每次重启后它都会重置为“无审计”。 作为第二种解决方案,我尝试在高级审计策略配置下仅启用“审计流程创建”和“审计流程终止”。这解决了重置问题,但存在与第一种解决方案相同的问题:每次重启或长时间不活动后,我的所有应用程序登录信息(Discord、Slack、OperaGX 上的不同网站......)都会被删除。历史记录和自动填充表单数据都在那里,但我每次重启后都必须登录。 如果有解决...
操作系统是Windows Server 21H2。 我已启用文件夹和文件访问审核,并在 Windows 事件查看器中启用了该功能。我按 5663 事件进行筛选。我可以看到这些事件。 但是,例如,如果我在 11:00 有一个事件,并且我使用 F5 刷新事件查看器,则我再也看不到该事件了。事实上,如果我刷新事件,我显示的事件在很多时候都是不同的。 我已经在事件查看器的安全属性中配置文件大小为 20MB,我猜它足够大,至少可以存储过去一小时的日志,但实际上我丢失了很多事件,或者至少我不知道如何查看它们。 那么,我如何才能查看今天和过去几天的所有事件? ...