分享一款轻量级的 Windows 事件日志查询工具，提供友好的界面，

可以让你一键筛选所需事件，并利用分层智能缓存技术，实现秒级响应，即使查询几个月的数据也能流畅体验。

主要功能
日期范围快速选择：支持“今天”、“昨天”、“前天”、“前一个月”、“前三个月”、“全部日期”等快捷按钮，也可手动选择起止日期。
事件类型筛选：可独立勾选 启动 / 关机 / 休眠/唤醒 / 错误 / 其他 五类事件，实时过滤显示。
结果表格展示：清晰展示时间、事件ID、级别、来源、类型、描述，不同类型自动着色区分。
右键菜单操作：复制单元格 / 复制行 / 清空记录 / 导出为 CSV，方便数据处理。
状态栏统计：实时显示总事件数和匹配数，以及查询耗时。
单击表头排序：支持按任意列排序（时间、ID、级别、来源、类型、描述），单击切换升序/降序。

为了彻底解决重复查询的卡顿问题，我设计了一套两层缓存机制：分层智能缓存2.0
基础层（按天缓存）
每次查询时，将读取到的原始事件按“天”拆分，分别存入内存（键为 yyyyMMdd）。
例如查询“前一个月”时，工具会一次性读取整个月的数据，然后自动按天存储。后续再查询其中某一天或某几天时，直接从缓存中组装，无需再次读取系统日志。

组合层（范围+筛选缓存）
对于用户查询过的完整日期范围+特定筛选条件（如“2025-01-01 至 2025-01-31 + 仅启动事件”），系统会将其结果单独缓存，并维护与基础缓存中每一天的依赖关系。
如果某一天的基础缓存因更新或淘汰而被清除，相关的组合缓存会自动失效，保证数据一致性。

得益于这种设计：
首次查询（例如“前一个月”）会从系统日志读取并缓存，耗时可能几秒到几十秒（取决于事件量）。
再次查询相同范围（或相同筛选条件）时，直接命中组合缓存，毫秒级返回。
跨范围查询（例如先查“今天”，再查“前一个月”）时，若“前一个月”的部分天数已缓存，则会从缓存中合并数据，大幅减少实际读取量。
此外，缓存还具备容量限制（最多 60 天原始数据 / 100 个组合缓存）和自动过期清理（1 小时未访问自动移除），避免内存膨胀。

下载地址：

链接：8d9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4N6r3^5I4M7@1u0G2P5o6u0z5c8i4k6b7L8V1S2p5e0r3S2W2g2q4W2Q4y4h3k6%4i4K6y4r3M7s2N6V1i4K6y4p5y4U0S2*7j5#2)9J5y4X3&6T1M7%4m8Q4x3@1t1`.

链接：1bbK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2I4N6h3q4J5K9#2)9J5k6h3y4F1i4K6u0r3M7#2)9J5c8U0l9J5x3e0x3K6k6U0V1@1y4e0g2U0y4b7`.`.

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！