一、Windows系统记录文件查看方法

事件查看器（Event Viewer）

- 按 `Win + R` 打开运行窗口，输入 `eventvwr.msc` 并回车；

- 在左侧导航栏选择 Windows日志→ 系统；

- 通过筛选功能查找特定事件ID（如文件操作事件ID 4663、6005/6006）。

任务管理器（Task Manager）

- 按 `Ctrl + Shift + Esc` 打开任务管理器；

- 切换到 详细信息标签页，查看 进程和 启动项，可发现异常程序运行记录。

文件历史记录（Recent Files）

- 按 `Win + R` 输入 `recent` 回车；

- 查看最近访问的文件和文件夹记录，可追踪文件操作来源。

计划任务（Scheduled Tasks）

- 按 `Win + R` 输入 `schtasks.msc` 回车；

- 查看已创建的计划任务，筛选执行时间异常的任务。

系统文件查询

- 按 `Win + R` 输入 `perfmon.msc` 回车；

- 在性能监视器中查看 文件系统、 进程等计数器，分析异常文件访问。

二、Mac系统记录文件查看方法

活动监视器（Activity Monitor）

- 打开 活动监视器，查看 进程标签页中的运行程序；

- 切换到 网络标签页追踪文件传输记录。

终端命令

- 使用 `last` 命令查看用户登录注销记录；

- 使用 `log show --predicate 'process == "程序名"'` 过滤特定程序运行日志。

三、Linux系统记录文件查看方法

命令行工具

- 使用 `history` 命令查看当前用户操作记录；

- 使用 `last` 命令查看系统登录注销记录；

- 使用 `auditd` 工具查看安全审计日志。

系统日志文件

- 查看 `/var/log/auth.log`（登录/注销记录）；

- 查看 `/var/log/syslog`（系统事件记录）。

四、其他注意事项

权限管理：

部分记录可能受权限限制，管理员需使用 `sudo` 或管理工具（如Windows的洞察眼MIT）访问；

第三方工具：如Windows的LastActivityView、Mac的Activity Monitor等，可提供更友好的界面和扩展功能；

日志清理：敏感信息可能涉及隐私问题，操作完成后建议清除相关日志或使用加密工具保护。

通过以上方法，可系统化地查看电脑的文件操作记录，结合多维度信息判断异常行为。