1.查看日志列表，找到你需要的日志信道名称

比如以这里要寻找的系统日志为例，要找到是否有 System

wevtutil enum-logs // 查看所有日志名称列表

显示的会有很多(如下)

aa.JPG
bb.JPG

2.使用条件找出对应信道信息

如下找出开机，关机，蓝屏和非正常关机，不同的事件用不同的id区分

wevtutil qe System /q:"Event/System/EventID=6005" /f:text   // 开机事件
wevtutil qe System /q:"Event/System/EventID=6006" /f:text   // 关机事件
wevtutil qe System /q:"Event/System/EventID=6008" /f:text   // 蓝屏事件
wevtutil qe System /q:"Event/System/EventID=41" /f:text       // 非正常关机

1.我们需要的是系统日志，所以用的是 System，
2.用 qe 找该类型的日志，
3./q 筛选你需要的条件，
4./f 是输出格式，不然输出的是 xml 的标签格式

输出大概是这样的：

cc.JPG

3.其他，还有导出文件之类就不一一列出，自己看命令参数