一、使用事件查看器（推荐）

通过运行窗口

按下 `Win + R` 打开运行窗口，输入 `eventvwr.msc`，回车后即可打开事件查看器。

通过控制面板

- 打开控制面板，切换到“管理工具”。

- 双击“事件查看器”，在左侧导航栏选择“Windows日志”下的“系统”“应用程序”等类别。

二、查看系统日志内容

系统日志

- 在事件查看器中，展开“Windows日志”→“系统”，可查看驱动器故障、系统启动/关闭等事件（如ID 6005为开机记录，ID 6006为关机记录）。

应用程序日志

- 展开“Windows日志”→“应用程序”，记录用户操作、程序运行等事件。

安全日志

- 展开“Windows日志”→“安全”，记录登录/注销、权限变更等安全相关事件。

三、其他辅助方法

PowerShell查询

- 打开PowerShell，输入以下命令：

```bash

Get-EventLog -LogName System

```

可查看系统事件日志，或使用 `Get-EventLog -LogName Application` 查询应用程序日志。

第三方工具

- 如LastActivityView、域之盾等，可显示用户操作记录、文件访问日志，并支持加密和恢复功能。

注意事项

日志文件存储在 `C:\Windows\System32\winevt\Logs` 目录下，可通过文件资源管理器直接访问。

高级用户可通过PowerShell导出日志为CSV文件：

```bash

Get-EventLog -LogName System | Export-Csv -Path C:\path\to\file.csv

```

系统日志涉及敏感信息，请谨慎查看权限设置。

以上方法覆盖了系统级和用户级日志的查看方式，可根据具体需求选择合适工具。