Historicky, WindowsUpdate.log Na analýzu fungovania agenta a služby Windows Update sa použil obyčajný textový súbor. Denníky služby Windows Update v systéme Windows 10 (Windows Server 2016/2019) sú však uložené v Sledovanie udalostí pre Windows formát súboru (ETW), namiesto obvyklého textového súboru. S takouto akciou plánovali vývojári systému Windows zvýšiť výkon protokolovacieho subsystému a znížiť priestor zaberaný textovými súbormi na disku.
Udalosti služby Windows Update sa teda už nezapisujú v reálnom čase do %windir%\WindowsUpdate.log súbor. Aj keď je súbor stále prítomný v koreňovom adresári priečinka Windows, hovorí len o tom, že formát ETW sa teraz používa na zhromažďovanie protokolov WU.
Spustite príkaz Get-WindowsUpdateLog PowerShell a konvertujte stopy ETW na čitateľný súbor WindowsUpdate.log.
Ďalšie informácie nájdete na stránke http://go.microsoft.com/fwlink/?LinkId=518345
Nevýhoda novej metódy protokolovania pre správcov – teraz nemôžete rýchlo analyzovať službu Windows Update Agent, nájsť chybové kódy v textovom súbore WindowsUpdate.log (pozrite si
Kompletný zoznam kódov chýb služby Windows Update), skontrolovať WSUS nastavenia agenta a analyzovať históriu inštalácie aktualizácie.Udalosti ETW môžete previesť na obyčajný textový súbor WindowsUpdate.log pre pohodlnejšiu analýzu udalostí aktualizačnej služby. Ak to chcete urobiť, použite rutinu cmdlet PowerShell – Get-WindowsUpdateLog. Tento cmdlet vám umožňuje zhromažďovať informácie od všetkých .etl súbory (sú uložené v C:\WINDOWS\Logs\WindowsUpdate) a vytvorte jeden textový súbor WindowsUpdate.log.
Ak chcete vygenerovať súbor WindowsUpdate.log a uložiť ho do priečinka C:\PS\Logs, spustite nasledujúci príkaz v konzole PowerShell:
Get-WindowsUpdateLog -logpath C:\PS\Logs\WindowsUpdate.log
Copy-Item: Cannot find path 'C:\Program Files\Windows Defender\SymSrv.dll' because it does not exist. At C:\Windows\system32\WindowsPowerShell\v1.0\Modules\WindowsUpdate\WindowsUpdateLog.psm1:56 char: 5
Súbor „C:\Program Files\Windows Defender\SymSrv.dll“ zvyčajne chýba, ak Ochranca systému Windows nie je nainštalovaný na serveri.
Ak chcete chybu opraviť, môžete nainštalovať program Windows Defender, skopírovať súbor SymSrv.dll z iného servera Windows 2016/Windows 10, alebo vyhľadajte súbor SymSrv.dll v lokálnom priečinku WinSxS (v mojom prípade bol adresár volal C:\Windows\WinSxS\amd64_windows-defender-service-cloudclean_…) a skopírujte ho do priečinka „C:\Program Files\Windows Defender“.
V starších zostavách systému Windows 10 sa pri prvom spustení cmdlet Get-WindowsUpdateLog stiahne a nainštaluje Internetový obchod symbolov spoločnosti Microsoft. Najnovšie verzie Windowsu 10 pristupujú k Microsoft Character Server v Azure online. Potom cmdlet:
- Číta údaje zo všetkých súborov .etl;
- Údaje sú konvertované do formátu CSV (štandardne) alebo XML;
- Údaje zo súboru v prechodnom formáte sa skonvertujú a pridajú do textového súboru protokolu uvedeného v LogPath parameter (ak parameter v LogPath nie je zadaný, na pracovnej ploche používateľa spusteného príkaz)
Tip. Ďalším spôsobom, ako analyzovať súbory ETL, ale o niečo komplikovanejším, je použitie Tracefmt.exe nástroj na príjem údajov z .etl.
Otvorte súbor denníka pomocou tohto príkazu PowerShell:
Invoke-Item -Path C:\PS\Logs\WindowsUpdate.log
V niektorých prípadoch môžete v súbore WindowsUpdate.log vidieť tieto reťazce:
Unknown(140): GUID=53212e4cc-4321-f43a-2123-9ada0090bc12b (No Format Information found).
To znamená, že nemáte nainštalovaný server Windows Symbol (dnes si nemôžete stiahnuť a samostatný inštalátor symbolov systému Windows, pretože sa automaticky stiahne z úložiska symbolov Azure). Pre izolované prostredia môžete použiť offline verziu servera symbolov podľa článku Offline symboly pre Windows Update.
Tip. Upozorňujeme, že vytvorený súbor WindowsUpdate.log je statický a neaktualizuje sa v reálnom čase ako v predchádzajúcich verziách systému Windows. Ak chcete súbor aktualizovať, musíte znova spustiť rutinu cmdlet Get-WindowsUpdateLog alebo vytvoriť skript, ktorý automaticky aktualizuje súbor s určitou frekvenciou (súbor sa prepíše).
Je pomerne ťažké analyzovať výsledný súbor WindowsUpdate.log, pretože zhromažďuje údaje z mnohých zdrojov udalostí:
- AGENT – udalosti agenta služby Windows Update;
- AU – automatická aktualizácia;
- AUCLNT – interakcia používateľa;
- HANDLER – správa inštalátora aktualizácie;
- MISC – bežné informácie WU;
- PT – synchronizácia aktualizácií s lokálnym dátovým úložiskom;
- REPORT – zber správ;
- SERVIS – udalosti spustenia/zastavenia služby wuauserv;
- SETUP – inštalácia nových verzií klienta Windows Update;
- DownloadManager – sťahovanie aktualizácií do lokálnej vyrovnávacej pamäte pomocou BITS;
- Handler, Setup – hlavičky inštalátora (CBS a pod.);
- a veľa ďalších.
Posledných 30 udalostí môžete vybrať z agenta Windows Update Agent (agent) pomocou jednoduchého regulárneho výrazu:
Select-String -Pattern '\sagent\s' -Path C:\PS\Logs\WindowsUpdate.log | Select-Object -Last 30
Udalosti v súbore WindowsUpdate.log môžete filtrovať podľa niekoľkých zdrojov:
Select-String -Pattern '\sagent\s|\smisc\s' -Path c:\PS\Logs\WindowsUpdate.log | Select-Object -Last 50
Podobne môžete analyzovať textový súbor pre udalosti podľa čísla KB, chýb (FAILED, Exit Code, FATAL).
Môžete tiež vygenerovať súbor WindowsUpdate.log pre vzdialený počítač alebo server:
Get-WindowsUpdateLog -ETLPath \\ny-srf-1\C$\windows\Logs\WindowsUpdate -LogPath C:\PS\Logs\windowsupdate-ny-srf-1.log
Na analýzu fungovania služby Windows Update môžete použiť aj denníky Zobrazovača udalostí. Rozbaľte nasledujúcu časť Zobrazenie udalosti: Protokoly aplikácií a služieb -> Microsoft -> Windows -> WindowsUpdateClient -> Prevádzkové.
