Win10日志管理与事件查看技巧

怎么入门文章编程？需要学习哪些知识点？这是新手们刚接触编程时常见的问题；下面golang学习网就来给大家整理分享一些知识点，希望能够给初学者一些帮助。本篇文章就来介绍《Win10系统日志大小查看与事件管理技巧》，涉及到，有需要的可以收藏一下

若Windows 10运行变慢、磁盘空间异常减少或事件查看器迟缓，很可能是系统日志文件持续增长未管控所致；需依次查看日志大小、设置最大容量、用PowerShell批量调整、清理冗余.evtx文件、禁用非必要日志记录。

如果您发现Windows 10系统运行变慢、磁盘空间异常减少，或事件查看器响应迟缓，则可能是系统日志文件持续增长未受管控所致。以下是查看与管理日志大小、防止日志爆盘的具体操作步骤：

一、查看当前系统日志文件大小

系统日志以二进制.evtx格式存储在系统目录中，其实际占用磁盘空间无法直接从事件查看器界面读取，需通过文件属性或PowerShell获取精确大小。该步骤用于确认各日志的实际体积，识别占用最大的日志类别。

1、按下Win + R键，输入shell:localappdata，按回车打开本地应用数据目录。

2、在地址栏中手动替换路径为：%SystemRoot%\System32\winevt\Logs\，然后按回车进入日志物理存储位置。

3、在该文件夹内，找到以System.evtx、Application.evtx、Security.evtx等命名的文件，右键单击任一文件，选择“属性”。

4、在“常规”选项卡中查看“大小”和“占用空间”数值，其中Security.evtx在启用详细审核策略时可能达数百MB甚至GB级。

二、通过事件查看器设置日志最大大小

事件查看器允许为每类日志单独设定最大容量限制，超出后自动覆盖旧事件，是防止日志无节制增长的核心机制。此设置直接影响.evtx文件的物理尺寸上限。

1、按下Win + R键，输入eventvwr.msc，按回车打开事件查看器。

2、在左侧导航栏中，依次展开“Windows 日志”，右键点击“系统”，选择“属性”。

3、在弹出窗口中，勾选“按需要时覆盖事件”，并取消勾选“不覆盖事件（清除日志前）”。

4、在“最大日志大小”输入框中，将默认值20480 KB（约20 MB）修改为合理范围：建议系统日志设为102400 KB（100 MB），应用程序日志设为51200 KB（50 MB），安全日志若启用审计则至少保留204800 KB（200 MB）。

5、点击“确定”，系统会提示是否立即清除超出部分——选择“是”以强制收缩现有日志文件至新上限。

三、使用PowerShell批量查询与调整所有日志大小

PowerShell可一次性获取全部日志的当前大小、配置上限及覆盖策略，适用于批量核查多台设备或自动化运维场景。命令执行结果包含字节数与人类可读单位，精度高于图形界面。

1、以管理员身份运行Windows PowerShell（右键开始菜单 → “Windows PowerShell（管理员）”）。

2、输入以下命令并回车：Get-WinEvent -ListLog * | Select-Object LogName,FileSize,MaximumSizeInBytes,IsEnabled,IsClassicLog | Format-Table -AutoSize。

3、观察输出列表中的FileSize列（当前字节数）与MaximumSizeInBytes列（配置上限），识别FileSize持续接近MaximumSizeInBytes的日志项。

4、对“系统”日志执行扩容操作：输入Limit-EventLog -LogName System -MaximumSize 100MB -OverflowAction OverwriteAsNeeded，回车执行。

5、对“安全”日志启用覆盖并设为200MB：输入Limit-EventLog -LogName Security -MaximumSize 200MB -OverflowAction OverwriteAsNeeded，回车执行。

四、手动清理已停用或冗余日志存档

用户可能手动导出过大量.evtx备份文件，或第三方工具生成了未被事件查看器管理的归档日志，这些孤立文件长期驻留于桌面、下载文件夹或自定义路径，构成隐蔽磁盘压力源。

1、打开文件资源管理器，在搜索框中输入*.evtx，并将搜索范围设为“这台电脑”。

2、等待索引完成，在结果中筛选修改日期早于三个月、且文件名含backup、archive、export或带日期戳（如20240815）的.evtx文件。

3、检查其属性中的“创建时间”与“大小”，对大于50MB且无明确用途说明的文件，右键选择“删除”。

4、重点检查路径：%USERPROFILE%\Desktop\、%USERPROFILE%\Downloads\、%SYSTEMROOT%\Temp\，这些位置最常堆积废弃日志副本。

五、禁用非必要日志记录以降低写入频率

部分服务或驱动默认开启高密度日志记录（如诊断跟踪、WiFi AutoConfig、DeviceInstall），在普通办公环境中并无分析价值，却持续产生海量信息级事件，加速日志膨胀。

1、在事件查看器左侧导航栏中，展开“应用程序和服务日志”，逐级查看子节点如“Microsoft > Windows > Diagnostics-Performance”、“WLAN-AutoConfig”、“DeviceSetupManager”。

2、对任意子日志右键，选择“属性”，确认“启用日志”复选框处于**未勾选状态**；若已启用，取消勾选并点击“确定”。

3、特别关注以下高产日志源：Diagnosis-DiagnosticLog, PnPManager, WindowsUpdateClient —— 这些在更新频繁时段每小时可生成上千条信息事件。

4、重启相关服务以使禁用生效：以管理员身份运行CMD，依次执行net stop diagtrack && net start diagtrack、net stop wuauserv && net start wuauserv。

好了，本文到此结束，带大家了解了《Win10日志管理与事件查看技巧》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！