检查Windows中的软件安装/删除历史记录

计算机上软件安装、更新和删除的完整历史记录可以在 Windows 事件日志中找到。这些日志还可用于识别发起安装或删除应用程序的特定用户。

如何在Windows中查看应用程序安装日志：

1. 打开事件查看器管理单元 (

   eventvwr.msc

   ）

2. 展开Windows日志 -> 应用程序

3. 右键单击日志并选择过滤当前日志

   

4. 选择 MsiInstaller 作为事件源。

   

5. 检查以下事件以获取有关安装或删除软件的信息。
   EventID 11707 -

   Installation completed successfully

   .
   事件ID 11724 -

   Removal completed successfully

   

   此日志仅包含打包在 MSI/MSP 包（或实际运行 MSI 安装程序的 EXE 文件中）的应用程序的安装事件

   msiexec.exe

   ）。 Windows 安装程序服务（

   MSIServer

   ) 用于安装 MSI 软件包。该服务用于管理 Windows 上软件的安装、维护、回滚和删除。某些以 EXE 文件格式分发的应用程序不使用 MSIServer 服务，因此不会写入此类事件。

6. 要了解哪个特定用户卸载或安装了该程序，请转到事件属性中的详细信息选项卡。切换到XML 视图模式。用户的 SID 在Security UserID 属性值中指定。复制它。

   

7. 执行以下命令将用户SID转换为账户名：

   wmic useraccount where sid='S-1-5-21-3414967564-454070197-2746421142-1001' get name

此命令返回启动安装或删除程序的用户的名称。

要从事件日志中获取所有软件安装和删除事件，请使用 Get-WinEvent cmdlet。例如，要列出成功软件安装的历史记录：

Get-WinEvent -FilterHashtable @{LogName="Application";ID=11707;ProviderName='MsiInstaller'} | Select TimeCreated,Message

要以最大深度存储事件查看器日志，请增加 Windows 事件日志大小限制。

Windows 有一个更方便的工具来查看安装、删除和更新应用程序的历史记录，包括 Microsoft Store (UWP) 应用程序和 Windows 更新日志。这是系统可靠性监视器。

可靠性监视器是经典控制面板中的一个单独的图形小程序，它显示系统稳定性指数以及有关可能影响操作系统稳定性的事件（应用程序崩溃、软件安装、删除事件等）的详细信息。

要打开可靠性监视器，请转至控制面板 -> 安全和维护。在维护部分中，单击查看可靠性历史记录链接（或运行

perfmon /rel

命令）。

按天或按周查看已安装或删除的更新、程序和 UWP 应用。有关该活动的更多信息，请点击查看技术详细信息按钮。

此脚本在 Out-GridView 交互式图形表中显示过去 7 天内计算机上的所有程序安装、删除和更新事件（包括 Windows 更新和 APPX/MSIX 安装）。

$DaysAgo = (Get-Date).AddDays(-7)
$RealiabilityFilter= "TimeGenerated > '$DaysAgo' and (SourceName='Microsoft-Windows-WindowsUpdateClient' or SourceName='MsiInstaller')"
Get-CimInstance -ClassName Win32_ReliabilityRecords -filter $RealiabilityFilter|Select TimeGenerated,ProductName,User,message |Out-GridView

使用 Out-GridView 的内置过滤器按特定应用程序、事件或用户过滤事件。