Ajalooliselt on WindowsUpdate.log lihtteksti faili on kasutatud Windows Update'i agendi ja teenuse toimimise analüüsimiseks. Windows 10 (Windows Server 2016/2019) Windows Update'i logid salvestatakse aga Windowsi sündmuste jälgimine failiformaat (ETW), tavalise tekstifaili asemel. Sellise toiminguga plaanisid Windowsi arendajad suurendada logimise alamsüsteemi jõudlust ja vähendada kettal olevate tekstifailide poolt hõivatud ruumi.
Seega ei kirjutata Windows Update'i sündmusi enam reaalajas %windir%\WindowsUpdate.log faili. Kuigi fail on endiselt Windowsi kausta juurtes, ütleb see vaid, et ETW-vormingut kasutatakse nüüd WU logide kogumiseks.
Käivitage käsk Get-WindowsUpdateLog PowerShell, et teisendada ETW jäljed loetavaks failiks WindowsUpdate.log.
Lisateabe saamiseks külastage http://go.microsoft.com/fwlink/?LinkId=518345
Uue logimismeetodi puuduseks administraatoritele – nüüd ei saa te Windows Update Agenti teenust kiiresti analüüsida, veakoode leida tekstifailist WindowsUpdate.log (vt
Windows Update'i veakoodide täielik loend), kontrolli WSUS agendi sätted ja analüüsige värskenduste installimise ajalugu.Värskendusteenuse sündmuste mugavamaks analüüsimiseks saate ETW sündmused teisendada lihtteksti failiks WindowsUpdate.log. Selleks kasutage PowerShelli cmdlet- Get-WindowsUpdateLog. See cmdlet võimaldab teil koguda teavet kõigilt .etl failid (need on salvestatud C:\WINDOWS\Logs\WindowsUpdate) ja looge üks WindowsUpdate.log tekstifail.
Faili WindowsUpdate.log genereerimiseks ja kausta C:\PS\Logs salvestamiseks käivitage PowerShelli konsoolis järgmine käsk:
Get-WindowsUpdateLog -logpath C:\PS\Logs\WindowsUpdate.log
Copy-Item: Cannot find path 'C:\Program Files\Windows Defender\SymSrv.dll' because it does not exist. At C:\Windows\system32\WindowsPowerShell\v1.0\Modules\WindowsUpdate\WindowsUpdateLog.psm1:56 char: 5
Fail “C:\Program Files\Windows Defender\SymSrv.dll” puudub tavaliselt, kui Windows Defender pole serverisse installitud.
Vea parandamiseks võite installida Windows Defenderi, kopeerida faili SymSrv.dll teisest Windows Serverist 2016/Windows 10 või otsige kohalikust WinSxS kaustast faili SymSrv.dll (minu puhul oli kataloog helistas C:\Windows\WinSxS\amd64_windows-defender-service-cloudclean_…) ja kopeerige see kausta "C:\Program Files\Windows Defender".
Vanemate Windows 10 järkude puhul laadib see cmdleti Get-WindowsUpdateLog esmakordsel käivitamisel alla ja installib Microsofti Interneti-sümbolite pood. Windows 10 uusimad versioonid pääsevad Azure'is veebis juurde Microsofti märgiserverile. Seejärel cmdlet:
- Loeb andmeid kõigist .etl-failidest;
- Andmed teisendatakse CSV (vaikimisi) või XML-vormingusse;
- Vahevormingus faili andmed teisendatakse ja lisatakse LogPathis määratud logi tekstifaili parameeter (kui parameetrit LogPathis pole määratud, luuakse WindowsUpdate.log kasutaja töölaual käsk)
Näpunäide. Teine viis ETL-failide analüüsimiseks, kuid mõnevõrra keerulisem, on kasutamine Tracefmt.exe utiliit andmete vastuvõtmiseks failist .etl.
Avage logifail selle PowerShelli käsuga:
Invoke-Item -Path C:\PS\Logs\WindowsUpdate.log
Mõnel juhul näete failis WindowsUpdate.log selliseid stringe:
Unknown(140): GUID=53212e4cc-4321-f43a-2123-9ada0090bc12b (No Format Information found).
See tähendab, et teil pole installitud Windows Symboli serverit (täna ei saa te alla laadida a eraldi Windowsi sümbolite installija, kuna see laaditakse automaatselt alla sümbolite poest Azure). Eraldatud keskkondade jaoks saate vastavalt artiklile kasutada sümboliserveri võrguühenduseta versiooni Võrguühenduseta sümbolid Windows Update'i jaoks.
Näpunäide. Pange tähele, et loodud WindowsUpdate.log fail on staatiline ja seda ei värskendata reaalajas nagu eelmistes Windowsi versioonides. Faili värskendamiseks tuleb veel kord käivitada Get-WindowsUpdateLog cmdlet või luua skript, mis uuendab faili automaatselt teatud sagedusega (fail kirjutatakse üle).
Saadud faili WindowsUpdate.log on üsna keeruline analüüsida, kuna see kogub andmeid paljudest sündmuste allikatest:
- AGENT – Windows Update'i agendi sündmused;
- AU – automaatne värskendus;
- AUCLNT – kasutaja interaktsioon;
- HANDLER – uuenduste installija haldus;
- MISC – üldine WU info;
- PT – uuenduste sünkroonimine kohaliku andmesalvega;
- ARUANNE – aruannete kogumine;
- TEENUS – wuauservi teenuse käivitamise/lõpetamise sündmused;
- SETUP – Windows Update'i kliendi uute versioonide installimine;
- DownloadManager – värskenduste allalaadimine kohalikku vahemällu kasutades BITS;
- Handler, Setup – installeri päised (CBS jne);
- ja paljud teised.
Saate valida viimased 30 sündmust Windows Update Agentist (agendist) lihtsa regulaaravaldise abil:
Select-String -Pattern '\sagent\s' -Path C:\PS\Logs\WindowsUpdate.log | Select-Object -Last 30
Saate filtreerida WindowsUpdate.logi sündmusi mitme allika järgi.
Select-String -Pattern '\sagent\s|\smisc\s' -Path c:\PS\Logs\WindowsUpdate.log | Select-Object -Last 50
Samamoodi saate sündmuste tekstifaili sõeluda KB-numbri, vigade (ERUSTUD, väljumiskood, FATAL) järgi.
Samuti saate luua faili WindowsUpdate.log kaugarvuti või serveri jaoks.
Get-WindowsUpdateLog -ETLPath \\ny-srf-1\C$\windows\Logs\WindowsUpdate -LogPath C:\PS\Logs\windowsupdate-ny-srf-1.log
Windows Update'i teenuse toimimise analüüsimiseks saate kasutada ka Event Vieweri logisid. Laiendage järgmist sündmusevaate jaotist: Rakenduste ja teenuste logid -> Microsoft -> Windows -> WindowsUpdateClient -> Operational.
