Windows Update-Protokolldateien

Gilt für: Windows 10

Die folgende Tabelle beschreibt die Protokolldateien, die von Windows Update erstellt werden.

Protokolldatei Ort Beschreibung Verwendungsszenarien
windowsupdate.log C:\Windows\Logs\WindowsUpdate Seit Windows 8.1 (und auch in Windows 10) verwendet der Windows Update-Client die Ereignisablaufverfolgung für Windows (ETW), um Diagnoseprotokolle zu generieren. Wird beim Ausführen von Windows Update eine Fehlermeldung angezeigt, können Sie die Informationen in der Datei "Windowsupdate.log" zur Problembehandlung verwenden.
UpdateSessionOrchestration.etl C:\ProgramData\USOShared\Logs Seit Windows 10 ist Update Orchestrator verantwortlich für Download- und Installationsreihenfolge der verschiedenen Updatetypen aus Windows Update. Die Ereignisse werden in diesen ETL-Dateien protokolliert. Wenn Sie feststellen, dass die Updates verfügbar sind, aber der Download nicht ausgelöst wird.
Wenn Updates heruntergeladen werden, die Installation jedoch nicht ausgelöst wird.
Wenn Updates installiert werden, der Neustart jedoch nicht ausgelöst wird.
NotificationUxBroker.etl C:\ProgramData\USOShared\Logs Seit Windows 10 wird das Benachrichtigungspopup oder -banner durch die Datei "NotificationUxBroker.exe" ausgelöst. Wenn Sie überprüfen möchten, ob die Benachrichtigung ausgelöst wurde oder nicht.
CBS.log %systemroot%\Logs\CBS Dieses Protokoll bietet einen Einblick in das Updateinstallationselement im Wartungsstapel. Zum Behandeln der Problemen im Zusammenhang mit der Installation über Windows Update.

Generieren von WindowsUpdate.log

Informationen zum Zusammenführen und Konvertieren von Windows Update-Ablaufverfolgungsdateien (ETL-Dateien) in eine einzige lesbare WindowsUpdate.log-Datei finden Sie unter Get-WindowsUpdateLog.

Hinweis

Wenn Sie das Cmdlet Get-WindowsUpdateLog ausführen, wird eine Kopie der Datei "WindowsUpdate.log" als statische Protokolldatei erstellt. Es erfolgt kein Update der alten WindowsUpdate.log-Datei, es sei denn, Sie führen Get-WindowsUpdateLog erneut aus.

Windows Update-Protokollkomponenten

Das Windows Update-Modul hat verschiedene Komponentennamen. Im folgenden werden einige der am häufigsten verwendeten Komponenten aufgeführt, die in der Datei "WindowsUpdate.log" aufgeführt sind:

  • AGENT: Windows Update-Agent
  • AU: Automatische Updates führen diesen Task aus.
  • AUCLNT: Interaktion zwischen AU und dem angemeldeten Benutzer
  • CDM: Geräte-Manager
  • CMPRESS: Komprimierungs-Agent
  • COMAPI: Windows Update-API
  • DRIVER: Gerätetreiberinformationen
  • DTASTOR: Verarbeitet Datenbanktransaktionen
  • EEHNDLER: Ausdruckshandler, der verwendet wird, um die Anwendbarkeit eines Updates zu bewerten
  • HANDLER: Verwaltet die Updateinstallationsprogramme
  • MISC: Allgemeine Dienstinformationen
  • OFFLSNC: Erkennt verfügbare Updates ohne Netzwerkverbindung
  • PARSER: Analysiert Ausdrucksinformationen
  • PT: Synchronisiert Updateinformationen mit dem lokalen Datenspeicher
  • REPORT: Sammelt Berichtsinformationen
  • SERVICE: Starten/Herunterfahren des Diensts für automatische Updates
  • SETUP: Installiert neue Versionen des Windows Update-Clients, sobald diese verfügbar sind
  • SHUTDWN: Feature "Beim Herunterfahren installieren"
  • WUREDIR: Die Windows Update-Redirector-Dateien
  • WUWEB: Das Windows Update-ActiveX-Steuerelement
  • ProtocolTalker: Client-Server-Synchronisierung
  • DownloadManager: Erstellt und überwacht Nutzlastdownloads
  • Handler, Setup: Installationsprogrammhandler (CBS usw.)
  • EEHandler: Auswerten von auf das Update anwendbaren Regeln
  • DataStore: Lokales Zwischenspeichern von Updatedaten
  • IdleTimer: Nachverfolgen aktiver Anrufe, Beenden eines Diensts

Hinweis

Viele Protokollmeldungen von Komponenten sind von unschätzbarem Wert, wenn Sie nach Problemen in diesem bestimmten Bereich suchen. Sie können jedoch nutzlos sein, wenn irrelevante Komponenten nicht herausgefiltert werden, um sich auf das Wesentliche konzentrieren zu können.

Windows Update-Protokollstruktur

Die Windows Update-Protokollstruktur ist in vier Hauptidentitäten unterteilt:

  • Zeitstempel
  • Prozess-ID und Thread-ID
  • Komponentenname
  • Updatebezeichner
    • Update-ID und Revisionsnummer
    • Revisions-ID
    • Lokale ID
    • Inkonsistente Terminologie

Die WindowsUpdate.log-Struktur wird in den folgenden Abschnitten behandelt.

Zeitstempel

Der Zeitstempel gibt den Zeitpunkt der Protokollierung an.

  • Meldungen werden in der Regel in chronologische Reihenfolge aufgeführt, es gibt jedoch Ausnahmen.
  • Eine Pause während einer Synchronisierung kann auf ein Netzwerkproblem hindeuten, auch wenn die Überprüfung erfolgreich ist.
  • Eine lange Pause gegen Ende einer Überprüfung kann auf ein Problem in der Ablösungskette hindeuten.
    Windows Update Zeitstempel.

Prozess-ID und Thread-ID

Die Prozess- und Thread-IDs sind zufällig und können sich von Protokoll zu Protokoll und sogar von Dienstsitzung zu Dienstsitzung innerhalb des gleichen Protokolls unterscheiden.

  • Die ersten vier Hexadezimalziffern sind die Prozess-ID.
  • Die folgenden vier Hexadezimalziffern sind die Thread-ID.
  • Jede Komponente, z. B. USO, Windows Update-Modul, COM API-Caller und Windows Update-Installationsprogrammhandler, hat eine eigene Prozess-ID.
    Windows Update Prozess- und Thread-IDs.

Komponentenname

Suchen Sie nach den Komponenten, die mit den IDs verknüpft sind, und identifizieren Sie diese. Unterschiedliche Teile des Windows Update-Moduls weisen unterschiedliche Komponentennamen auf. Einige davon sind beispielsweise:

  • ProtocolTalker: Client-Server-Synchronisierung
  • DownloadManager: Erstellt und überwacht Nutzlastdownloads
  • Handler, Setup: Installationsprogrammhandler (CBS usw.)
  • EEHandler: Auswerten von auf das Update anwendbaren Regeln
  • DataStore: Lokales Zwischenspeichern von Updatedaten
  • IdleTimer: Nachverfolgen aktiver Anrufe, Beenden des Diensts

Windows Update Komponentenname.

Updatebezeichner

Update-ID und Revisionsnummer

Es gibt verschiedene Bezeichner für dasselbe Update in unterschiedlichen Kontexten. Es ist wichtig, die Bezeichnerschemas zu kennen.

  • Update-ID: Eine GUID (im vorherigen Screenshot dargestellt), die einem bestimmten Update zur Veröffentlichungszeit zugeordnet wird
  • Revisionsnummer: Eine Zahl, die jedes Mal erhöht wird, wenn ein bestimmtes Update (mit einer bestimmten Update-ID) in einem Dienst geändert und erneut veröffentlicht wird.
  • Revisionsnummern werden von einem Update zum anderen (keine eindeutigen Bezeichner) wieder verwendet.
  • Update-ID und Revisionsnummer werden häufig zusammen mit "{GUID}.revision" angezeigt. Windows Update Aktualisieren von Bezeichnern.
Revisions-ID
  • Eine Revisions-ID (nicht zu verwechseln mit "Revisionsnummer") ist eine fortlaufende Zahl, die ausgegeben wird, wenn ein Update zu einem bestimmten Dienst veröffentlicht oder überarbeitet wird.
  • Wird ein vorhandenes Update überarbeitet, bleibt die Update-ID (GUID) gleich und die Revisionsnummer wird erhöht (beispielsweise von 100 in 101), aber es wird eine neue Revisions-ID ohne Beziehung zur vorherigen ID vergeben.
  • Revisions-IDs sind für eine bestimmten Updatequelle eindeutig, nicht jedoch über mehrere Quellen hinweg.
  • Die gleiche Updaterevision weist möglicherweise unterschiedliche Revisions-IDs für Windows Update und WSUS auf.
  • Die gleiche Revisions-ID kann unterschiedliche Updates für Windows Update und WSUS darstellen.
Lokale ID
  • Die lokale ID ist eine fortlaufende Zahl, die ausgegeben wird, wenn ein Update von einem Dienst über einen bestimmten Windows Update-Client empfangen wird.
  • In der Regel in Debugprotokollen zu finden, insbesondere im Zusammenhang mit dem lokalen Cache für Updateinformationen (Datenspeicher).
  • Unterschiedliche Client-PCs weisen dem gleichen Update unterschiedliche lokale IDs zu.
  • Sie können die von einem Client verwendeten lokalen IDs ermitteln, indem Sie die Datei "%WINDIR%\SoftwareDistribution\Datastore\Datastore.edb" des Clients abrufen.
Inkonsistente Terminologie
  • Manchmal verwenden die Protokolle Ausdrücke inkonsistent. So enthält beispielsweise die InstalledNonLeafUpdateIDs-Liste eigentlich Revisions-IDs und keine Update-IDs.

  • So erkennen Sie IDs anhand des Formats und Kontexts

    • GUIDs sind Update-IDs
    • Kleine ganze Zahlen, die zusammen mit einer Update-ID angezeigt werden, sind Revisionsnummern.
    • Große ganze Zahlen sind in der Regel Revisions-IDs
    • Kleine ganze Zahlen (insbesondere im Datastore) können lokale IDs Windows Update inkonsistente Terminologie sein.

Analyse der Windows Setup-Protokolldateien mithilfe des SetupDiag-Tools

SetupDiag ist ein Diagnosetool, das für die Analyse von Protokollen im Zusammenhang mit der Installation von Windows-Updates verwendet werden kann. Ausführliche Informationen finden Sie unter SetupDiag.