系统日志是用于记录系统中硬件、软件和系统问题、监视系统中发生事件的信息。分为系统日志、应用程序日志和安全日志。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

Windows系统日志可以通过右击计算机-管理-事件查看器，或者在【开始】→【运行】→输入 eventvwr.msc 也可以直接进入“事件查看器”进行查询。

Windows日志常用事件ID：

1074，查看计算机的开机、关机、重启的时间以及原因和注释。

6005，表示日志服务已启动，用来判断正常开机进⼊系统。

6006，表示日志服务已停用

6009，表示非正常关机

41，  表示系统在未先正常关机的情况下重新启动。

4199，当发生TCP/IP地址冲突的时候，会出现此事件ID。

35,36,37，记录时间客户端状态信息，35表⽰更改时间源，36表示时间同步失败，37表示时间同步正常

7045，服务创建成功

7030，服务创建失败

4624，成功登陆的用户

4625，表示登陆失败的用户

4672，表示授予了特殊权限

4720,4722,4723,4724,4725,4726,4738,4740，事件ID表示当用户帐号发生创建，删除，改变密码时的事件记录。

4727,4737,4739,4762，表示当用户组发生添加、删除时或组内添加成员时生成该事件。

举例说明：

我们想知道为什么系统会自动重启，就要筛选出非正常关机的那个时间点，并查看之前什么进程出了故障。

具体操作，点击系统日志界面左侧的“系统”等待中间刷新出内容，然后点击右侧的“筛选当前日志”。

然后弹出的窗口中，事件ID输入41，就能筛选出非正常关机的日志时间点及记录了，根据这个记录时间点，去找此时运行的进程中是否有报错的。即可找到问题所在。