掌握Windows 11系统日志查询：CMD命令操作全解析

（引用来源：Microsoft官方文档 - Windows命令行文档；技术社区如Tenforums, BleepingComputer的常见问题解答）

在Windows 11中，系统日志就像是电脑的“黑匣子”，它默默记录着系统运行中发生的所有重要事件，比如什么时候开机、什么时候有程序出错、什么时候有安全警告等等，当电脑出现一些莫名其妙的故障时，查看系统日志是找到问题根源的关键一步，虽然Windows自带了图形化的“事件查看器”，但对于习惯高效操作或者需要自动化脚本的用户来说，使用命令提示符（CMD）来查询日志更加直接和强大，下面就来全面解析如何使用CMD命令玩转Windows 11的系统日志。

核心武器：wevtutil命令

在CMD中,查询和管理事件日志的核心命令是 wevtutil，这个命令功能非常强大，可以完成查看日志列表、导出日志、查询特定事件等几乎所有操作。

1. 查看所有可用的日志列表 你需要知道你的系统里都有哪些日志文件，输入以下命令： wevtutil el 执行后，屏幕上会列出一长串日志名称，System”（系统日志）、“Application”（应用程序日志）、“Security”（安全日志）是最常见的三个，还有针对特定服务或功能的日志，Microsoft-Windows-PowerShell/Operational”。

2. 查询特定日志的基本内容 想快速浏览某个日志里最近都发生了什么事，可以使用 qe（query events的缩写）参数，查看系统日志： wevtutil qe System 但这个命令默认会输出非常详细且冗长的XML格式信息，看起来很不方便，所以我们需要加上一些参数来让结果更易读。

3. 让查询结果清晰易读：/f:text 参数 为了让输出结果以纯文本形式显示，而不是XML，我们加上 /f:text。 wevtutil qe System /f:text 这样，事件内容就会以一行一行的简洁格式显示出来，包括事件发生的日期、时间、事件ID、级别（如错误、警告、信息）和描述。

4. 控制显示数量：/c 参数 系统日志可能非常庞大，默认会显示很多条，我们可以用 /c 参数指定只显示最近几条，只看系统日志中最近的5条事件： wevtutil qe System /f:text /c:5

进阶查询：使用筛选器精准定位

上面的命令只是简单浏览,真正强大的功能在于使用XPath查询语言进行筛选。wevtutil 通过 /q 参数来支持筛选。

1. 按事件ID查询 事件ID是识别特定类型事件最准确的方式，你想查询所有事件ID为6006的事件（这个ID通常表示系统正常关机），命令如下： wevtutil qe System /q:"*[System[(EventID=6006)]]" /f:text 这里的 "/q:*[System[(EventID=6006)]]" 就是一个简单的XPath筛选器，意思是“在System日志中，筛选出System节点下EventID等于6006的事件”。

2. 按事件级别查询 当你只想看错误或警告信息时，可以按级别筛选，常见级别有：1（错误 Critical）、2（错误 Error）、3（警告 Warning）、4（信息 Information）。 只查看系统日志中所有错误级别的事件： wevtutil qe System /q:"*[System[(Level=2)]]" /f:text

3. 组合条件查询 你还可以把条件组合起来，查询系统日志中，事件ID为7036（服务状态变化）且级别为“信息”的事件： wevtutil qe System /q:"*[System[(EventID=7036) and (Level=4)]]" /f:text

另一个实用工具：Get-EventLog（适用于PowerShell）

虽然主题是CMD,但值得一提的是，在Windows 11中，CMD和PowerShell是共存的，如果你打开的是PowerShell命令行，可以使用一个更古老的命令 Get-EventLog，它的语法对一些人来说可能更直观。

在PowerShell中查看系统日志最近的5个错误： Get-EventLog -LogName System -EntryType Error -Newest 5 （引用来源：Microsoft PowerShell文档 - Get-EventLog命令说明）

通过CMD的 wevtutil 命令，你可以摆脱图形界面的束缚，快速、精准地查询Windows 11的系统日志，从基本的日志列表、内容浏览，到通过事件ID、级别等进行高级筛选，这些命令为系统管理员和高级用户提供了强大的故障排查工具，记住核心命令 wevtutil，再结合 /f:text 格式化输出和 /q 进行筛选，你就能高效地驾驭系统日志这座信息宝库。