Oglejte si dnevnik posodobitev sistema WindowsUpdate.log v sistemu Windows 10 / Windows Server 2016

V preteklosti je bila za analizo delovanja agenta in Windows Update uporabljena besedilna datoteka WindowsUpdate.log. Toda v sistemu Windows 10 (Windows Server 2016/2019) so dnevniki posodobitve sistema Windows namesto običajne besedilne datoteke v obliki Sledenje dogodkom za Windows (ETW). Zaradi tega se poveča učinkovitost podsistema za beleženje in prihrani prostor na disku.

Tako dogodki Windows Update zdaj niso več zapisani v datoteko v realnem času % windir% \ WindowsUpdate.log. In čeprav je datoteka sama še vedno prisotna v korenu mape Windows, le navaja, da se zdaj za zbiranje dnevnikov uporablja format ETW..

Dnevniki Windows Update se zdaj generirajo z uporabo ETW (sledenje dogodkom za Windows). % MINIFYHTML94c94c461bdbf801ea1528dc9c5b1f4e5% Prosimo, zaženite ukaz Get-WindowsUpdateLog PowerShell, da pretvorite sledi ETW v berljiv WindowsUpdate.log. Za več informacij obiščite http://go.microsoft.com/fwlink/?LinkId=518345

Glavna neprijetnost za skrbnike - zdaj ne morete hitro analizirati besedilne datoteke WindowsUpdate.log, poiskati napake v storitvi Windows Update Agent (glejte celoten seznam napak za Windows Update), preverite nastavitve WSUS in analizirajte zgodovino namestitve posodobitve.

Dogodke ETW lahko pretvorite v znano besedilno obliko WindowsUpdate.log za bolj priročno analizo dogodkov storitve posodabljanja. Če želite to narediti, uporabite ukazni ukaz PowerShell - Get-WindowsUpdateLog. Ta cmdlet omogoča zbiranje informacij od vseh .etl datoteke (shranjene v imeniku C: \ WINDOWS \ Dnevniki \ WindowsUpdate) in tvorijo eno samo datoteko WindowsUpdate.log.

Če želite ustvariti datoteko WindowsUpdate.log in jo umestiti v imenik C: \ PS \ Logs, v konzoli PowerShell zaženite naslednji ukaz:

Get-WindowsUpdateLog -logpath C: \ PS \ Dnevniki \ WindowsUpdate.log

V operacijskem sistemu Windows Server 2016, ko zaženete cmdlet Get-WindowsUpdateLog Morda boste prejeli manjkajočo napako datoteke SymSrv.dll:

Element kopiranja: poti »C: \ programske datoteke \ Windows Defender \ SymSrv.dll« ni mogoče najti, ker ne obstaja. Pri C: \ Windows \ system32 \ WindowsPowerShell \ v1.0 \ Modules \ WindowsUpdate \ WindowsUpdateLog.psm1: 56 char: 5

Datoteka "C: \ Program Files \ Windows Defender \ SymSrv.dll" ponavadi manjka, če protivirusni program Windows Defender ni nameščen na strežniku.

Če želite odpraviti napako, lahko namestite program Defender, kopirate datoteko SymSrv.dll iz drugega sistema Windows Server 2016 / Windows 10 ali ga poiščete v imeniku »C: \ Windows \ WinSxS \« (moj imenik se je imenoval C: \ Windows \ WinSxS \ amd64_windows -defender-service-cloudclean_ ...) in ga kopirajte v mapo C: \ Program Files \ Windows Defender.

V starejših različicah sistema Windows 10 prvič zaženite ukazno ploščo Get-WindowsUpdateLog, prenesite in namestite Microsoftov strežnik simbolov (Microsoftova internetna trgovina s simboli). Najnovejše različice sistema Windows 10 v spletu dostopajo do strežnika Microsoft znakov v Azure. Nato cmdlet:

  1. Zbira podatke iz vseh datotek .etl;
  2. Pretvori podatke v obliko CSV (privzeto) ali XML;
  3. Pretvori podatke iz vmesnih datotek in jih doda v besedilno datoteko dnevnika, določenega v parametru LogPath (če parameter LogPath ni določen, se datoteka WindowsUpdate.log ustvari na namizju uporabnika, ki je sprožil ukaz).
V nekaterih primerih v dnevniku WindowsUpdate.log vidite takšne vrstice

Neznano (10): GUID = 5e0ee4cc-3618-f43a-06ca-9d3b0dabc11a (ni podatkov o formatu).

To pomeni, da nimate nameščenega strežnika Windows Symbol (trenutno ne morete prenesti ločenega namestitvenega programa za simbole Windows, ker se samodejno prenesejo iz trgovine s simboli v Azure). Za izolirana okolja lahko uporabite različico brez povezave strežnika simbolov v skladu s člankom Offline Symbols za Windows Update.

Odprite datoteko dnevnika s tem ukazom PowerShell:

Poziv-element-Pot C: \ PS \ Dnevniki \ WindowsUpdate.log

Namig. Upoštevajte, da je ustvarjena datoteka WindowsUpdate.log statična in se ne posodablja v realnem času, kot v prejšnjih različicah sistema Windows. Če želite posodobiti podatke dnevnika posodobitev, morate znova zagnati ukazno ploščo Get-WindowsUpdateLog ali ustvariti skript, ki datoteko samodejno posodobi (datoteka je prepisana).

Dokaj težko je analizirati nastalo datoteko WindowsUpdate.log kot zbira podatke iz mnogih virov:

  • AGENT - dogodki zastopnika Windows Update;
  • AU - samodejna posodobitev;
  • AUCLNT - interakcija uporabnika;
  • HANDLER - posodobitev upravljanja namestitvenega programa;
  • MISC - splošne informacije;
  • PT- sinhronizacija posodobitev z lokalnim pomnilnikom;
  • POROČILO - zbiranje poročil;
  • SERVIS - zagon / ustavitev storitve wuauserv;
  • SETUP - namestitev novih različic odjemalca Windows Update;
  • DownloadManager - prenesite posodobitve v lokalni predpomnilnik;
  • Handler, Setup - namestitvene glave (CBS itd.);
  • Itd.

Zadnjih 30 dogodkov lahko izberete med agentom (sredstvom) za Windows Update s preprostim regularnim izrazom:

Select-String -Pattern '\ sagent \ s' -Path C: \ PS \ Dnevniki \ WindowsUpdate.log | Izberi-Predmet-Zadnji 30

Dogodke v dnevniku lahko filtrirate za več virov:

Select-String -Pattern '\ sagent \ s | \ smisc \ s' -Path c: \ PS \ Dnevniki \ WindowsUpdate.log | Izberi-Predmet-Zadnjih 50

Podobno lahko iščete dogodke po številki KB, napaki (FAILED, Exit Code, FATAL vrstice).

Datoteko WindowsUpdate.log lahko ustvarite tudi za oddaljeni računalnik / strežnik:

Get-WindowsUpdateLog -ETLPath \\ PC221 \ C $ \ windows \ Dnevniki \ WindowsUpdate -LogPath C: \ PS \ Dnevniki \ windowsupdatePC221.log

Tudi dnevniki pregledovalnika dogodkov v razdelku so lahko koristni za analizo delovanja storitve Windows Update. Dnevniki aplikacij in storitev -> Microsoft -> Windows -> WindowsUpdateClient -> Operative.

Za upravljanje posodobitev PowerShell lahko uporabite modul PSWindowsUpdate.
Kategorija