Fichiers journaux de Windows Update

S’applique à: Windows10

Le tableau suivant décrit les fichiers journaux créés par Windows Update.

Fichier journal Emplacement Description Quand utiliser
windowsupdate. log C:\Windows\Logs\WindowsUpdate À partir de Windows 8,1 et en continuant dans Windows 10, le client Windows Update utilise le suivi d’événements pour Windows (ETW) pour générer les journaux de diagnostic. Si vous recevez un message d’erreur lors de l’exécution de Windows Update (WU), vous pouvez utiliser les informations incluses dans le fichier journal windowsupdate. log pour résoudre le problème.
UpdateSessionOrchestration. etl C:\ProgramData\USOShared\Logs À partir de Windows 10, la mise à jour d’ePolicy Orchestrator est responsable de la création et de l’installation de divers types de mise à jour à partir de Windows Update. Les événements sont enregistrés dans ces fichiers ETL. Lorsque vous constatez que les mises à jour sont disponibles, mais que le téléchargement ne déclenche pas la mise à jour.
Lorsque les mises à jour sont téléchargées, mais qu’aucune installation n’est déclenchée.
Lors de l’installation des mises à jour, mais le redémarrage n’est pas déclenché.
NotificationUxBroker. etl C:\ProgramData\USOShared\Logs À partir de Windows 10, la notification Toast ou la bannière est déclenchée par cet NotificationUxBroker. exe. Et les journaux pour vérifier son fonctionnement constituent ce ETL. Lorsque vous voulez vérifier si la notification a été déclenchée ou non pour le redémarrage ou la mise à jour, etc.
CBS. log %systemroot%\Logs\CBS Ce journal fournit des détails sur la partie installation de la mise à jour de la pile de maintenance. Pour résoudre les problèmes liés à l’installation de WU.

Génération de WindowsUpdate. log

Pour fusionner et convertir les fichiers de suivi WU (fichiers. ETL) dans un fichier WindowsUpdate. log unique lisible, voir Get-WindowsUpdateLog.

Notes

Lorsque vous exécutez l’applet de commande Get-WindowsUpdateLog , une copie du fichier windowsupdate. log est créée sous forme de fichier journal statique. Elle n’est pas mise à jour comme l’ancien WindowsUpate. log, sauf si vous exécutez à nouveau Get-WindowsUpdateLog .

Composants du journal Windows Update

Le moteur WU a des noms de composants différents. Voici quelques-uns des composants les plus courants qui s’affichent dans le fichier WindowsUpdate. log:

  • Agent-Windows Update Agent
  • Au-les mises à jour automatiques effectuent cette tâche
  • AUCLNT-interactions entre au et pour l’utilisateur connecté
  • CDM-gestionnaire de périphériques
  • CMPRESS-agent de compression
  • Comapi-API Windows Update
  • Informations sur le pilote du périphérique
  • DTASTOR-gère les transactions de base de données
  • Gestionnaire d’expression EEHNDLER qui est utilisé pour évaluer l’applicabilité des mises à jour
  • GESTIONNAIRE-gère les programmes d’installation des mises à jour
  • MISC-informations générales sur le service
  • OFFLSNC-détecte les mises à jour disponibles sans connexion réseau
  • PARSEr-analyse des informations d’expression
  • PT-synchronise les informations mises à jour sur le magasin de données local
  • RAPPORT-collecte des informations de rapport
  • SERVICE-démarrage/arrêt du service mises à jour automatiques
  • INSTALLATION-installation de nouvelles versions du client de mise à jour Windows lorsqu’elles sont disponibles.
  • SHUTDWN-installation lors de l’arrêt
  • WUREDIR-fichiers du redirecteur Windows Update
  • WUWEB-contrôle ActiveX Windows Update
  • ProtocolTalker-client-synchronisation serveur
  • DownloadManager: crée et contrôle les téléchargements de charge utile
  • Gestionnaire, installation-gestionnaires du programme d’installation (CBS, etc.)
  • EEHandler-évaluation des règles d’applicabilité des mises à jour
  • DataStore-mise en cache des données de mise à jour en local
  • IdleTimer: suivi des appels actifs et arrêt d’un service

Notes

De nombreux messages du journal des composants sont précieux si vous recherchez des problèmes dans cette zone spécifique. Toutefois, ils peuvent être inutiles si vous n’avez pas de filtre pour exclure des composants non pertinents afin de vous concentrer sur ce qui est important.

Structure du journal des mises à jour Windows

La structure du journal des mises à jour Windows est divisée en quatre identités principales:

  • Horodatage
  • ID de processus et ID de thread
  • Nom du composant
  • Mettre à jour les identificateurs
    • Mise à jour de l’ID et numéro de révision
    • ID de révision
    • ID local
    • Terminologie incohérente

La structure de WindowsUpdate. log est abordée dans les sections suivantes.

Horodatage

L’horodatage indique l’heure à laquelle la journalisation s’est produite.

  • Les messages sont généralement dans l’ordre chronologique, mais il existe peut-être des exceptions.
  • Une pause lors d’une synchronisation peut signaler un problème réseau, même si l’analyse réussit.
  • Une pause longue vers la fin d’une analyse peut signaler un problème de chaîne de remplacement.
    Horodatage Windows Update

ID de processus et ID de thread

Les ID de processus et les ID de thread sont aléatoires, et peuvent varier d’un journal à un journal et même d’une session de service à une session de service dans le même journal.

  • Les quatre premiers chiffres hexadécimaux sont l’ID du processus.
  • Les quatre prochains chiffres hexadécimaux sont l’ID du thread.
  • Chacun d’eux, tel que le moteur USO, WU, les appelants d’API COM et les gestionnaires du programme d’installation WU, possède son propre ID de processus.
    Processus et ID de thread de Windows Update

Nom du composant

Recherchez et identifiez les composants associés aux ID. Différentes parties du moteur WU présentent des noms de composants différents. Voici quelques-unes des opérations suivantes:

  • ProtocolTalker-client-synchronisation serveur
  • DownloadManager: crée et contrôle les téléchargements de charge utile
  • Gestionnaire, installation-gestionnaires du programme d’installation (CBS, etc.)
  • EEHandler-évaluation des règles d’applicabilité des mises à jour
  • DataStore-mise en cache des données de mise à jour en local
  • IdleTimer: suivi des appels actifs, arrêt du service

Nom du composant Windows Update

Mettre à jour les identificateurs

Mise à jour de l’ID et numéro de révision

Il existe différents identificateurs pour la même mise à jour dans des contextes différents. Il est important de connaître les schémas d’identificateur.

  • ID de mise à jour: GUID (indiqué dans la capture d’écran précédente) affecté à une mise à jour donnée au moment de la publication.
  • Numéro de révision: numéro incrémenté chaque fois qu’une mise à jour donnée (qui a un ID de mise à jour donnée) est modifiée et republiée sur un service
  • Les numéros de révision sont réutilisés d’une mise à jour à une autre (pas un identificateur unique).
  • L’ID de mise à jour et le numéro de révision sont souvent présentés ensemble en tant que «{GUID}. revision». Windows Update-identificateurs de mise à jour
ID de révision
  • Un ID de révision (ne pas confondre avec «numéro de révision») est un numéro de série émis lors de la publication d’une mise à jour à l’origine ou révisée sur un service donné.
  • Une mise à jour existante révisée conserve le même ID de mise à jour (GUID), dont le numéro de révision est incrémenté (par exemple, de 100 à 101), mais obtient un ID de révision entièrement nouveau qui n’est pas associé à l’ID précédent.
  • Les ID de révision sont uniques sur une source de mise à jour donnée, mais pas sur plusieurs sources.
  • La même version de mise à jour est susceptible d’avoir complètement différents ID de révision sur WU et WSUS.
  • Le même ID de révision pourrait représenter des mises à jour différentes sur WU et WSUS.
ID local
  • ID local est un numéro de série émis lors de la réception d’une mise à jour d’un service par un client WU donné.
  • Généralement dans les journaux de débogage, en particulier entre le cache local pour les informations de mise à jour
  • Des numéros d’identification locaux différents peuvent être attribués à différentes machines clientes.
  • Vous pouvez trouver les ID locaux qu’un client utilise en accédant au fichier%WINDIR%\SoftwareDistribution\Datastore\Datastore.edb du client.
Terminologie incohérente
  • Parfois, les journaux utilisent des termes de manière incohérente. Par exemple, la liste InstalledNonLeafUpdateIDs contient en fait des ID de révision, et non des ID de mise à jour.
  • Reconnaître les ID par formulaire et contexte:

    • Les GUID sont des ID de mise à jour
    • Les petits entiers qui s’affichent à côté d’un ID de mise à jour sont des numéros de révision
    • Les entiers entiers sont généralement des ID de révision
    • Les petits entiers (en particulier dans le magasin de ressources ) peuvent être des ID locaux pour lesquels la terminologie de Windows Update n’est pas formée

Analyse des fichiers du journal d’installation Windows à l’aide de l’outil SetupDiag

SetupDiag est un outil de diagnostic qui peut être utilisé pour analyser les journaux liés à l’installation des mises à jour Windows. Pour en savoir plus, voir SetupDiag.