Windows Update-Protokolldateien

Gilt für Windows10

In der folgenden Tabelle werden die von Windows Update erstellten Protokolldateien beschrieben.

Protokolldatei Pfad Beschreibung Verwendungsempfehlung
Windows. log C:\Windows\Logs\WindowsUpdate Ab Windows 8,1 verwendet der Windows Update-Client in Windows 10 die Ereignisablaufverfolgung für Windows (ETW), um Diagnoseprotokolle zu generieren. Wenn Sie eine Fehlermeldung erhalten, wenn Sie Windows Update (Wu) ausführen, können Sie die Informationen verwenden, die in der Windows. log-Protokolldatei enthalten sind, um das Problem zu beheben.
UpdateSessionOrchestration. ETL C:\ProgramData\USOShared\Logs Ab Windows 10 ist der Update Orchestrator für die Abfolge des Herunterladens und Installierens verschiedener Updatetypen von Windows Update verantwortlich. Und die Ereignisse werden in diesen ETL-Dateien protokolliert. Wenn Sie feststellen, dass die Updates verfügbar sind, wird der Download aber nicht ausgelöst.
Wenn Updates heruntergeladen werden, die Installation aber nicht ausgelöst wird.
Wenn Updates installiert sind, der Neustart aber nicht ausgelöst wird.
NotificationUxBroker. ETL C:\ProgramData\USOShared\Logs Wenn Sie Windows 10 starten, wird der Benachrichtigungs Toast oder das Banner von dieser NotificationUxBroker. exe ausgelöst. Und die Protokolle zur Überprüfung der Funktionsweise dieser ETL-Dateien. Wenn Sie überprüfen möchten, ob die Benachrichtigung ausgelöst wurde, oder nicht für den Neustart oder die Update Verfügbarkeit usw.
CBS. log %systemroot%\Logs\CBS Diese Protokolle bietet Einblicke in das Update Installations Teil im Wartungsstapel. Behandeln von Problemen im Zusammenhang mit der Wu-Installation

Generieren von Windows. log

Informationen zum Zusammenführen und Konvertieren von Wu-Ablaufverfolgungsdateien (ETL-Dateien) in eine einzelne lesbare Windows. Log-Datei finden Sie unter Get-WindowsUpdateLog.

Hinweis

Wenn Sie das Cmdlet " Get-WindowsUpdateLog " ausführen, wird eine Kopie der Datei "Windows. log" als statische Protokolldatei erstellt. Es wird nicht als altes WindowsUpate. log aktualisiert, es sei denn, Sie können Get-WindowsUpdateLog erneut ausführen.

Windows Update-Protokoll Komponenten

Das Wu-Modul hat unterschiedliche Komponentennamen. Im folgenden sind einige der am häufigsten verwendeten Komponenten aufgeführt, die in der Datei "Windows. log" angezeigt werden:

  • Agent – Windows Update-Agent
  • Au-Automatic Updates führt diese Aufgabe durch
  • AUCLNT-Interaktion zwischen AU und dem angemeldeten Benutzer
  • CDM-Geräte-Manager
  • CMPRESS-Komprimierungs-Agent
  • MAPI – Windows Update-API
  • Treiber-Gerätetreiberinformationen
  • DTASTOR – behandelt Datenbanktransaktionen
  • EEHNDLER-Ausdrucks Handler, der zur Auswertung der Update-Anwendbarkeit verwendet wird
  • Handler – verwaltet die Update-Installationsprogramme
  • Sonstiges – Allgemeine Dienstinformationen
  • OFFLSNC – erkennt verfügbare Updates ohne Netzwerkverbindung
  • Parser – analysiert Ausdrucks Informationen
  • PT – synchronisiert Aktualisierungsinformationen mit dem lokalen Datenspeicher
  • Bericht – sammelt Bericht Erstellungsinformationen
  • Dienst-Start/Shutdown des Diensts für automatische Updates
  • Setup – installiert neue Versionen des Windows Update-Clients, wenn diese verfügbar sind
  • SHUTDWN – Installation beim Shutdown-Feature
  • WUREDIR – die Windows Update-Redirector-Dateien
  • WUWEB – das Windows Update-ActiveX-Steuerelement
  • ProtocolTalker-Client-Server-Synchronisierung
  • Downloadmanager – erstellt und überwacht Nutzlast-Downloads
  • Handler, Setup-Installer-Handler (CBS usw.)
  • EEHandler – Auswerten von Update-Anwendungsregeln
  • Datastore – lokales Zwischenspeichern von Updatedaten
  • IdleTimer-nachverfolgen aktiver Anrufe, Beenden eines Diensts

Hinweis

Viele Komponenten Protokollnachrichten sind von unschätzbarem Wert, wenn Sie nach Problemen in diesem bestimmten Bereich suchen. Sie können jedoch nutzlos sein, wenn Sie nicht filtern, um irrelevante Komponenten auszuschließen, damit Sie sich auf das Wesentliche konzentrieren können.

Windows Update-Protokollstruktur

Die Windows Update-Protokollstruktur ist in vier Haupt Identitäten unterteilt:

  • Zeitstempel
  • Prozess-ID und Thread-ID
  • Komponenten Name
  • Update-IDs
    • Update-ID und Überarbeitungsnummer
    • Überarbeitungs-ID
    • Lokale ID
    • Inkonsistente Terminologie

Die Windows. log-Struktur wird in den folgenden Abschnitten erläutert.

Zeitstempel

Der Zeitstempel gibt den Zeitpunkt an, zu dem die Protokollierung erfolgt.

  • Nachrichten werden in der Regel in chronologischer Reihenfolge angezeigt, es gibt aber möglicherweise Ausnahmen.
  • Eine Pause während einer Synchronisierung kann auf ein Netzwerkproblem hindeuten, auch wenn die Überprüfung erfolgreich war.
  • Eine lange Pause am Ende eines Scans kann auf ein Ablöse-Kettenproblem hindeuten.
    Windows Update-Zeitstempel

Prozess-ID und Thread-ID

Die Prozess-IDs und Thread-IDs sind zufällig, und Sie können von Log zu Log und sogar von der Service-Session-zu-Service-Sitzung innerhalb desselben Protokolls variieren.

  • Die ersten vier Hex-Ziffern sind die Prozess-ID.
  • Die nächsten vier Hex-Ziffern sind die Thread-ID.
  • Jede Komponente, beispielsweise die USO-, Wu-Engine, com-API-Aufrufer und Wu-Installations Handler, verfügt über eine eigene Prozess-ID.
    Windows Update-Prozess und Thread-IDs

Komponentenname

Suchen Sie die Komponenten, die den IDs zugeordnet sind, und identifizieren Sie Sie. Verschiedene Teile des Wu-Moduls haben unterschiedliche Komponentennamen. Einige von Ihnen sind wie folgt:

  • ProtocolTalker-Client-Server-Synchronisierung
  • Downloadmanager – erstellt und überwacht Nutzlast-Downloads
  • Handler, Setup-Installer-Handler (CBS usw.)
  • EEHandler – Auswerten von Update-Anwendungsregeln
  • Datastore – lokales Zwischenspeichern von Updatedaten
  • IdleTimer-nachverfolgen aktiver Anrufe, Beenden des Diensts

Windows Update-Komponentenname

Update-IDs

Update-ID und Überarbeitungsnummer

Es gibt verschiedene Bezeichner für das gleiche Update in unterschiedlichen Kontexten. Es ist wichtig, die Bezeichner Schemas zu kennen.

  • Update-ID: eine GUID (im vorherigen Screenshot angegeben), die einer bestimmten Aktualisierung zum Veröffentlichungszeitpunkt zugewiesen ist.
  • Revisionsnummer: eine Zahl, die jedes Mal inkrementiert wird, wenn ein bestimmtes Update (mit einer bestimmten Update-ID) geändert und in einem Dienst erneut veröffentlicht wird
  • Revisionsnummern werden von einem Update zu einem anderen wieder verwendet (kein eindeutiger Bezeichner).
  • Die Update-ID und die Revisionsnummer werden häufig zusammen als "{GUID}. Revision" angezeigt. Windows Update-Update-IDs
Überarbeitungs-ID
  • Eine Überarbeitungs-ID (nicht mit "Revisionsnummer" verwechseln) ist eine Seriennummer, die ausgestellt wird, wenn ein Update für einen bestimmten Dienst ursprünglich veröffentlicht oder überarbeitet wurde.
  • Bei einem vorhandenen Update, das überarbeitet wurde, wird die gleiche Update-ID (GUID) beibehalten, die Revisionsnummer wird inkrementiert (beispielsweise von 100 zu 101), es wird jedoch eine völlig neue Überarbeitungs-ID abgerufen, die nicht mit der vorherigen ID verknüpft ist.
  • Versions-IDs sind für eine bestimmte Updatequelle eindeutig, aber nicht für mehrere Quellen.
  • Bei der gleichen Update-Revision sind möglicherweise völlig unterschiedliche Überarbeitungs-IDs für Wu und WSUS vorhanden.
  • Dieselbe Überarbeitungs-ID kann unterschiedliche Updates für Wu und WSUS darstellen.
Lokale ID
  • Lokale ID ist eine fortlaufende Nummer, die ausgestellt wird, wenn ein Update von einem bestimmten Wu-Client von einem Dienst empfangen wird.
  • Wird normalerweise in Debug-Protokollen angezeigt, insbesondere beim lokalen Cache für Update Informationen (Datenspeicher)
  • Verschiedene Client-PCs weisen dem gleichen Update unterschiedliche lokale IDs zu.
  • Sie können die lokalen IDs ermitteln, die ein Client verwendet, indem Sie die%windir%\SoftwareDistribution\Datastore\Datastore.edb-Datei des Clients abrufen.
Inkonsistente Terminologie
  • Manchmal verwenden die Protokolle Ausdrücke inkonsistent. Beispielsweise enthält die InstalledNonLeafUpdateIDs-Liste tatsächlich Überarbeitungs-IDs, keine Update-IDs.
  • Erkennen von IDs nach Formular und Kontext:

    • GUIDs sind Update-IDs
    • Kleine Ganzzahlen, die neben einer Update-ID angezeigt werden, sind Revisionsnummern
    • Große ganze Zahlen sind in der Regel Überarbeitungs-IDs
    • Kleine ganze Zahlen (besonders im Datenspeicher) können lokale IDs sein. Windows Update-Terminologie

Windows Setup-Protokolldateien Analyse mithilfe des SetupDiag-Tools

SetupDiag ist ein Diagnosetool, das für die Analyse von Protokollen im Zusammenhang mit der Installation von Windows-Updates verwendet werden kann. Ausführliche Informationen finden Sie unter SetupDiag.