Windows Как проверить логи агента обновлений Windows 10/11

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
24,507
Реакции
13,565
Исторически для анализа деятельности агента и службы обновления Windows использовался текстовый файл WindowsUpdate.log. Однако, начиная с Windows 10 (и Windows Server 2016/2019), логи Windows Update перешли на использование формата Event Tracing for Windows (ETW), вместо привычного текстового файла. Это переход позволил значительно повысить производительность подсистемы записи логов и экономить место на диске.

Таким образом, события Windows Update больше не записываются в реальном времени в файл %windir%\WindowsUpdate.log. Несмотря на то, что сам файл все еще присутствует в корневой папке Windows, его содержимое теперь сводится к уведомлению о том, что для сбора логов используется формат ETW.

1690371644415.png

Windows Update logs are now generated using ETW (Event Tracing for Windows).

Please run the Get-WindowsUpdateLog PowerShell command to convert ETW traces into a readable WindowsUpdate.log.

For more information, please visit Windows Update log files - Windows Deployment

Новая методика журналирования имеет своим недостатком то, что логи службы Windows Update больше недоступны для мгновенного изучения. Это представляет неудобство для служб поддержки SCCM и WSUS, которые регулярно полагаются на журнал WindowsUpdate.log для анализа работы системы обновлений.

Однако существует возможность произвести анализ журнала службы обновлений, сконвертировав ETW логи в привычный текстовый формат WindowsUpdate.log. Для этой цели предназначен новый командлет PowerShell — Get-WindowsUpdateLog. При помощи следующей команды вы сможете извлечь данные из всех .etl файлов (которые хранятся в каталоге C:\WINDOWS\Logs\WindowsUpdate) и получить один файл журнала в привычном текстовом формате:


Get-WindowsUpdateLog -logpath [B]C:\WindowsUpdate.log[/B]

1690372049790.png

В процессе первого запуска командлет скачает и установит сервер символов Microsoft (Microsoft Internet Symbol Store), затем
  1. Считает данные из всех .etl файлов
  2. Данные преобразуются в CSV (по-умолчанию) или XML формат
  3. Данные из файла в промежуточном формате будут переконвертированы и добавлены в тектовый файл журнала, указанного в параметре LogPath (если параметр LogPath, файл WindowsUpdate.log создается на рабочем столе пользователя, запустившего команду)
  4. В этом примере файл сохраниться в корне диска C. Если не указывать переменную -logpath, то файл WindowsUpdate.log сохраниться на рабочем столе (пример)
Совет. Еще один способ анализа ETL файлов, но несколько более сложный, воспользоваться для получения данных из .etl утилитой Tracefmt.exe.
Откройте файл журнала с помощью такой команды PowerShell:

Invoke-Item -Path C:\WindowsUpdate.log

1690372283752.png


Совет. Обратите внимание, что созданный файл WindowsUpdate.log является статическим и не обновляется в реальном времени как в предыдущих версиях Windows. Чтобы обновить данные в нем, нужно еще раз запустить командлет Get-WindowsUpdateLog, либо создать скрипт, автоматически обновляющий файл в реальном времени.
Также для анализа работы службы обновлений Windows может быть полезны журналы Event Viewer в разделе Applications and Services Logs -> Microsoft -> Windows –> WindowsUpdateClient.

Заметки IT профессионала
 
Последнее редактирование:
Последнее редактирование:
Назад
Сверху Снизу