需启用Windows 11内置启动日志功能以捕获系统启动全过程行为,方法包括:一、通过高级启动选项临时启用;二、通过BCD编辑器永久启用;三、通过注册表启用含驱动签名验证的详细日志。
如果您希望在Windows 11中捕获系统启动全过程的详细行为(如驱动加载顺序、服务初始化失败点、启动延迟组件等),需启用内置的启动日志记录功能。该功能生成的ntbtlog.txt文件位于系统根目录,是诊断启动卡顿、蓝屏或服务依赖失败的关键依据。以下是启用与分析该日志的具体方法:
一、通过高级启动选项启用启动日志
此方法利用Windows恢复环境(WinRE)中的“启动日志”调试开关,在下一次重启时自动记录内核级启动事件,无需修改注册表或安装工具。
1、按下Win + X组合键,选择“设置”。
2、进入“系统”→“恢复”,在“高级启动”区域点击“立即重新启动”。
3、设备重启后进入“选择一个选项”界面,依次选择“疑难解答”→“高级选项”→“启动设置”→“重启”。
4、重启后按键盘上的F8键(部分新设备需按Shift + F8或查看屏幕底部提示键位)。
5、在启动设置菜单中,使用方向键选中“启用启动日志”,按回车确认。
6、系统将正常启动,完成后自动生成C:\ntbtlog.txt文件。
二、通过BCD编辑器永久启用启动日志
该方式修改引导配置数据库(BCD),使启动日志在每次开机时均被记录,适用于需长期监控启动行为的场景,但会略微延长启动时间。
1、右键点击“开始”按钮,选择“终端(管理员)”。
2、执行命令:bcdedit /set {default} bootlog yes。
3、确认返回结果为“操作成功完成”。若提示权限错误,请确保以管理员身份运行。
4、重启计算机,系统将在下次及后续所有启动中持续写入ntbtlog.txt。
5、如需关闭该功能,执行:bcdedit /set {default} bootlog no。
三、通过注册表启用详细启动日志(含驱动签名验证日志)
此方法扩展标准启动日志,额外启用驱动加载签名检查、证书链验证等底层细节,生成的日志保存于%SystemRoot%\System32\drivers\etc\bootvid.log及内存转储文件中,仅适用于高级诊断。
1、按下Win + R,输入regedit并回车,打开注册表编辑器。
2、导航至路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management。
3、右键右侧空白处,选择“新建”→“DWORD (32位)值”,命名为BootLogEnabled。
4、双击该新建项,将“数值数据”设为1,基数保持“十进制”。
5、继续在同一路径下,新建另一DWORD值,命名为EnableDriverVerifier,数值数据设为1(可选,用于同步捕获驱动验证日志)。
6、重启系统,日志将同时写入ntbtlog.txt和bootvid.log。
