- Сообщения
- 25,743
- Решения
- 10
- Реакции
- 13,722
Исторически для анализа деятельности агента и службы обновления Windows использовался текстовый файл WindowsUpdate.log. Однако, начиная с Windows 10 (и Windows Server 2016/2019), логи Windows Update перешли на использование формата Event Tracing for Windows (ETW), вместо привычного текстового файла. Это переход позволил значительно повысить производительность подсистемы записи логов и экономить место на диске.
Таким образом, события Windows Update больше не записываются в реальном времени в файл %windir%\WindowsUpdate.log. Несмотря на то, что сам файл все еще присутствует в корневой папке Windows, его содержимое теперь сводится к уведомлению о том, что для сбора логов используется формат ETW.
Новая методика журналирования имеет своим недостатком то, что логи службы Windows Update больше недоступны для мгновенного изучения. Это представляет неудобство для служб поддержки SCCM и WSUS, которые регулярно полагаются на журнал WindowsUpdate.log для анализа работы системы обновлений.
Однако существует возможность произвести анализ журнала службы обновлений, сконвертировав ETW логи в привычный текстовый формат WindowsUpdate.log. Для этой цели предназначен новый командлет PowerShell — Get-WindowsUpdateLog. При помощи следующей команды вы сможете извлечь данные из всех .etl файлов (которые хранятся в каталоге C:\WINDOWS\Logs\WindowsUpdate) и получить один файл журнала в привычном текстовом формате:
В процессе первого запуска командлет скачает и установит сервер символов Microsoft (Microsoft Internet Symbol Store), затем
Откройте файл журнала с помощью такой команды PowerShell:
Совет. Обратите внимание, что созданный файл WindowsUpdate.log является статическим и не обновляется в реальном времени как в предыдущих версиях Windows. Чтобы обновить данные в нем, нужно еще раз запустить командлет Get-WindowsUpdateLog, либо создать скрипт, автоматически обновляющий файл в реальном времени.
Также для анализа работы службы обновлений Windows может быть полезны журналы Event Viewer в разделе Applications and Services Logs -> Microsoft -> Windows –> WindowsUpdateClient.
Заметки IT профессионала
Таким образом, события Windows Update больше не записываются в реальном времени в файл %windir%\WindowsUpdate.log. Несмотря на то, что сам файл все еще присутствует в корневой папке Windows, его содержимое теперь сводится к уведомлению о том, что для сбора логов используется формат ETW.
Windows Update logs are now generated using ETW (Event Tracing for Windows).
Please run the Get-WindowsUpdateLog PowerShell command to convert ETW traces into a readable WindowsUpdate.log.
For more information, please visit Windows Update log files - Windows Deployment
Новая методика журналирования имеет своим недостатком то, что логи службы Windows Update больше недоступны для мгновенного изучения. Это представляет неудобство для служб поддержки SCCM и WSUS, которые регулярно полагаются на журнал WindowsUpdate.log для анализа работы системы обновлений.
Однако существует возможность произвести анализ журнала службы обновлений, сконвертировав ETW логи в привычный текстовый формат WindowsUpdate.log. Для этой цели предназначен новый командлет PowerShell — Get-WindowsUpdateLog. При помощи следующей команды вы сможете извлечь данные из всех .etl файлов (которые хранятся в каталоге C:\WINDOWS\Logs\WindowsUpdate) и получить один файл журнала в привычном текстовом формате:
Get-WindowsUpdateLog -logpath C:\WindowsUpdate.log
В процессе первого запуска командлет скачает и установит сервер символов Microsoft (Microsoft Internet Symbol Store), затем
- Считает данные из всех .etl файлов
- Данные преобразуются в CSV (по-умолчанию) или XML формат
- Данные из файла в промежуточном формате будут переконвертированы и добавлены в тектовый файл журнала, указанного в параметре LogPath (если параметр LogPath, файл WindowsUpdate.log создается на рабочем столе пользователя, запустившего команду)
- В этом примере файл сохраниться в корне диска C. Если не указывать переменную -logpath, то файл WindowsUpdate.log сохраниться на рабочем столе (пример)
Откройте файл журнала с помощью такой команды PowerShell:
Invoke-Item -Path C:\WindowsUpdate.log
Совет. Обратите внимание, что созданный файл WindowsUpdate.log является статическим и не обновляется в реальном времени как в предыдущих версиях Windows. Чтобы обновить данные в нем, нужно еще раз запустить командлет Get-WindowsUpdateLog, либо создать скрипт, автоматически обновляющий файл в реальном времени.
Также для анализа работы службы обновлений Windows может быть полезны журналы Event Viewer в разделе Applications and Services Logs -> Microsoft -> Windows –> WindowsUpdateClient.
Заметки IT профессионала
Последнее редактирование: