标签: event-log

我在事件日志中发现的一些信息表明系统显然是从待机模式重新激活的，但我肯定会定期关闭系统。这事儿常常发生。这是什么，一些错误的 ACPI 配置？

在 Windows 中，是否有日志记录运行/调用了哪些程序？

在浏览互联网、查看没有广告、鼠标点击、按键或其他插件/插件/脚本运行的静态页面时，我只看到一个自发的 CMD.exe 控制台弹出，然后立即关闭，速度足够快，我无法在窗口中看到任何东西——而且我也没有明显的触发。

我想知道是否有某种类型的 Windows 日志显示已运行/调用/激活了哪些程序？我想看看当这个控制台窗口闪烁时幕后发生了什么，并希望确定它不是流氓。

作为参考，我运行的是 Windows 7 Ultimate x64。

在 Windows 10 Resource Monitor 中，我发现系统进程以 30-100KB/s 的速度不断写入 C:\ProgramData\Microsoft\Windows\wfp\wfpdiag.etl。这等于 1TB 写入/年，这对 SSD 来说是不健康的。还有其他日志写入，如 C:\Windows\System32\LogFiles***。

虽然诊断需要日志，但最好只有在问题已经发生时才打开。

是否可以禁用尽可能多的系统日志以减少对 SSD 的垃圾写入？

我知道有人讨论过，由于 Win 7 中自动运行（或自动播放？？）的限制，无法在连接时从 USB 驱动器启动应用程序。但是可以创建具有事件类型触发器的计划任务. 当驱动器 - 或任何 USB 设备，就此而言 - 连接时，肯定会发生一个事件。

有没有人知道我应该使用哪个事件 ID？或者至少是什么类型的事件？我在哪里可以在事件查看器中找到该事件？

我知道这听起来有点可笑，但是有人从我的小隔间里偷了我的鼠标......我早上来上班，正要轻轻推一下我的鼠标来唤醒显示器，但它不在那里！

我想弄清楚这是什么时候发生的。我运行的是 Windows 7，它是一个 USB 鼠标。我检查了事件日志，但似乎没有任何日志可以告诉我我在寻找什么。

有没有记录 USB 拔出事件的地方？

以详细模式（启动时 cmd + v）启动我的机器后，我想查看生成的日志消息，以调试我收到的错误（错误）。该错误仅在启动期间、机器重新启动之前短暂显示在屏幕上。结果，没有时间正确阅读它。

OS X 是否为启动消息提供了单独的日志文件，或者这些文件是否隐藏在 kernel.log 和 system.log 文件中？如果它们被埋在这些文件中，是否有一种快速的方法可以在控制台查看器中跳转到系统启动的位置？

我在论坛上看到一些人有这个问题，但似乎没有人有解决方案。Windows 说我应该重新启动，因为我有一个待处理的更新（这是 10586）。在重新启动期间，没有迹象表明正在安装任何更新或安装失败。重新登录 Windows 后，我被告知安装更新时出现问题。

在事件日志中，我可以看到：

安装失败：Windows 无法安装以下更新，错误为 0x8024200D：升级到 Windows 10 专业版，版本 1511、10586。

有谁知道出了什么问题或如何解决这个问题？

假设，当您在计算机连接到 Internet 的情况下继续运行并且一段时间后，如果您的 WiFi 调制解调器在中间冻结，那么“Internet 访问" 系统托盘中的图标。

您能否在事件查看器中或以其他方式获得实际发生的时间戳？

到目前为止，我只能在“WLAN-AutoConfig”下找到网络实际连接和断开时的事件 ID。

我确实运行了隔夜计算，当我来到我的电脑时，它重新启动了:-(我想找出原因，如果是由于我的计算过程崩溃或某些系统更新。我试图调查事件日志查看器，Windows 日志 -> 系统，但我找不到原因：

计算机必须在 6:50 左右重新启动。之前的最后一条消息是在 6:03 来自 WindowsUpdateClient：“安装成功：Windows 成功安装了以下更新：Microsoft Advertising SDK for XAML”。然后是这些消息（全部在 6:51:13）：

• Kernel-General：“操作系统在系统时间 ?2016?-?07?-?02T04:51:13.490451600Z 启动。”
• 内核启动：“上次关机的成功状态为假。上次启动的成功状态为真。”
• 内核启动：“启动类型是 0x0。”
• 内核启动：“启动菜单策略是 0x1。”
• 内核启动：“此系统上有 0x1 启动选项。”
• Kernel-Boot：“bootmgr 花费了 0 毫秒等待用户输入。”

如何找出重启的原因？有可能是由于更新，但更新和重新启动之间有大约 50 分钟。我想确定重启的原因。

我需要在工作中记录我的开始和结束时间。有时我会忘记这样做，并且有一个好主意，即检查安全事件日志可以让我追溯确定我的时间。

不幸的是，日志比我想象的要大得多，甚至需要一段时间才能在事件查看器中显示。此外，我尝试按日期和用户 ID 过滤日志，但到目前为止还没有产生任何结果。

假设我的想法是可行的，任何人都可以逐步完成我需要做的事情来检索我需要的信息吗？

更新：

我按照@surfasb 的说明进行操作，得到了只能看到登录信息的地方，但其中一些是系统级（即非人类）登录信息。我只想看到我的“物理”登录（工作日只有两三个这样的事件），而不是所有其他内容。

我已经尝试将我的 Windows 用户名放在字段中，如下所示，使用两者domain\username和只是，username但这只会过滤掉所有内容。你能帮忙吗？