Windows 作業系統內建的「事件檢視器」是一個專門用來檢視電腦上所記錄各類事件的利器。透過系統管理員的身分,使用者可以輕鬆查看應用程式、安全性、系統等模組的所有事件紀錄。這些資訊不僅有助於追蹤系統的運行狀況及排查作業系統的異常問題,還能用於追蹤應用程式的安裝與移除歷史。除了使用「事件檢視器」篩選應用程式的安裝與移除紀錄,使用者也可以透過 PowerShell 的指令方式一次列出相關事件的完整紀錄,讓資訊呈現更加清晰明確。
Windows 兩種方法檢視軟體安裝與解除安裝記錄
要檢視 Windows 有關於軟體安裝與解除安裝所紀錄的事件,除了可以使用「事件檢視器」外,還可以利用 PowerShell 以指令方式列出。
事件檢視器:
1.在 Windows 開啟事件檢視器,在左側欄中,點選應用程式。
2.接下來在右側欄中,點選「篩選目前的紀錄...」後會開啟如下圖的視窗。
3.如下圖紅色箭頭所指的位置,輸入事件 ID 後按「確定」。
- 事件 ID 11707 – 安裝成功完成。
- 事件 ID 11724 – 刪除成功完成。
回到原視窗後,中間欄會列出所有有關該事件 ID 的所有紀錄,下圖是列出 11707。
使用 PowerShell:
1.開啟 PowerShell 後,輸入以下指令( 事件 ID 可以自行變更):
Get-WinEvent -FilterHashtable @{LogName="Application";ID=11724;ProviderName="MsiInstaller"} | Select TimeCreated,Message
2.執行後,會將該事件 ID 含資訊一並列出。
以上兩種方法各有優勢,透過事件檢視器,您可以以格式化的方式查看系統所記錄的事件,但需要逐一點擊才能詳細檢視每個事件的內容;而透過 PowerShell,雖然缺乏格式化的視覺呈現,但能快速列出特定事件 ID 的所有紀錄與詳細資訊,極大提高了效率。您可以根據需求與使用習慣選擇最適合的方式,充分利用這些工具來管理與排查系統事件。