掌握Windows 11 CMD指令：轻松调取系统日志详细步骤

哎,说到Windows 11的CMD，很多人可能觉得这玩意儿老掉牙了，黑乎乎一个窗口，敲命令？这不是上世纪的操作吗…但有时候，图形界面点来点去找不到的东西，还真的就得靠它，比如系统日志，你想快速抓个错误记录，或者看看最近系统偷偷干了啥，CMD里几条指令下去，比在事件查看器里一层层翻要快得多。

我一开始也是瞎试,动不动就输错命令，系统给我弹一堆“不是内部或外部命令”…真是头大，后来才慢慢摸到点门道，其实关键就几个命令，但你得知道怎么组合，还有…怎么理解它吐出来的那一大堆密密麻麻的字。

最基础的就是eventvwr这个命令，你在CMD里直接敲这个，回车，嘿，它其实会打开那个图形化的事件查看器，这算是个偷懒的办法，但如果你只是想看看，没打算深究，这也行，可咱们今天要的不是这个，我们要的是直接在命令行里把日志“揪出来”。

真正的利器是wevtutil这个命令，这名字有点拗口，我老是记成“wevt tool”…反正就是Windows Event Utility的缩写吧，它功能巨强大，能查询、导出、甚至清除日志，不过咱们今天先聚焦在怎么查。

比方说,你想看系统日志里最近的错误信息，可以先试试这个：

wevtutil qe System /c:5 /f:text /rd:true

我来拆解一下这个有点长的命令啊…qe是query的缩写，表示查询；System指的是系统日志，这里你也能换成Application（应用日志）或者Security（安全日志）；/c:5意思是只要最近5条记录，不然它哗啦给你倒出来几千条，根本看不过来；/f:text是让结果以纯文本显示，不然可能格式很怪；/rd:true这个参数…我有时会忘记加，它是让结果按时间倒序排列，最新的在最前面，这样我们一眼就能看到刚发生的事。

回车之后,屏幕上会刷出一大片XML格式的文本…对，看起来非常不友好，各种<EventData>、<Data>标签把你想要的信息包裹着，你得有点耐心在里面找，比如<EventID>后面的数字就是事件ID，<TimeCreated>后面是时间，关键是<Data>里面的描述，那才是具体出了什么错，我第一次看的时候，感觉像在解谜。

如果你觉得这样看太费眼,可以把它导出到一个文件里慢慢看，命令差不多，后面加个重定向：

wevtutil qe System /c:10 /f:text > C:\log_check.txt

这样,它就会把10条系统日志记录保存到C盘根目录的log_check.txt文件里，你用记事本打开，查找起来就方便多了。

还有个更精细的玩法,是用XPath查询来过滤，比如你只关心事件ID为6006的事件（这个通常表示系统正常关机），命令会变成这样：

wevtutil qe System /q:"*[System[(EventID=6006)]]" /f:text

这个/q参数后面的内容就是XPath查询语句，看起来有点复杂…我也是从网上搜来的，用的时候再修改，说实话，这种高级用法我也不敢说完全掌握，有时候括号多一个少一个，整个命令就报错了，得反复试几次。

用CMD查日志,感觉就像在跟系统底层对话，虽然界面不友好，但有一种直接的、不经过包装的控制感，它肯定没有PowerShell那么强大和现代…但对于一些快速的、简单的检查，或者在某些精简版系统里（PowerShell可能被精简掉了），CMD还是无可替代的。

别怕那个黑框框,多试几次，哪怕报错了也没关系，那也是一种学习嘛，慢慢你就会发现，这个老伙计肚子里，还真藏了不少有用的东西。