Новый формат логов агента обновлений Windows 10

08.10.2015

В Windows 10 разработчики решили отказаться от привычного текстового формата журнала агента службы обновлений (Windows Update) в пользу службы журналирования событий, ведущей журналы в формате Event Tracing for Windows (ETW). Таким действием разработчики планировали увеличить быстродействие системы записи логов и уменьшить место, занимаемое текстовым журналом на диске.

Таким образом, журнал с логами Windows Update больше не хранится в файле %windir%\WindowsUpdate.log. И хотя сам файл все еще присутствует в корне папки Windows, в нем лишь указано, что для сбора логов теперь применяется формат ETW.

Совет. Мы уже вкратце рассказывали о системе журналирования ETW в статье о возможностях ведения и анализе логов в IIS 8.5.

Windows Update logs are now generated using ETW (Event Tracing for Windows).

Please run the Get-WindowsUpdateLog PowerShell command to convert ETW traces into a readable WindowsUpdate.log.

For more information, please visit http://go.microsoft.com/fwlink/?LinkId=518345

Недостатком новой методики журналирования является то, что логи службы Windows Update теперь недоступны для немедленного изучения. Это крайне не удобно для служб поддержки SCCM и WSUS, которые часто используют журнал WindowsUpdate.log для анализа работы системы обновлений.

Для анализа журнала службы обновлений есть возможность сконвертировать ETW логи в привычный текстовый формат WindowsUpdate.log. Для этого служит новый командлет PowerShell — Get-WindowsUpdateLog. С помощью следующей команды можно сделать выборку по всем .etl файлам (хранятся в каталоге C:\WINDOWS\Logs\WindowsUpdate) и получить один файл журнала привычного формата:

Get-WindowsUpdateLog -logpath C:\Logs\WindowsUpdate.log
В процессе первого запуска командлет скачает и установит сервер символов Microsoft (Microsoft Internet Symbol Store), затем

Считает данные из всех .etl файлов
Данные преобразуются в CSV (по-умолчанию) или XML формат
Данные из файла в промежуточном формате будут переконвертированы и добавлены в тектовый файл журнала, указанного в параметре LogPath (если параметр LogPath, файл WindowsUpdate.log создается на рабочем столе пользователя, запустившего команду)

Совет. Еще один способ анализа ETL файлов, но несколько более сложный, воспользоваться для получения данных из .etl утилитой Tracefmt.exe.

Откройте файл журнала с помощью такой команды PowerShell:

Invoke-Item -Path C:\Logs\WindowsUpdate.log

Совет. Обратите внимание, что созданный файл WindowsUpdate.log является статическим и не обновляется в реальном времени как в предыдущих версиях Windows. Чтобы обновить данные в нем, нужно еще раз запустить командлет Get-WindowsUpdateLog, либо создать скрипт, автоматически обновляющий файл в реальном времени.

Также для анализа работы службы обновлений Windows может быть полезны журналы Event Viewer в разделе Applications and Services Logs -> Microsoft -> Windows –> WindowsUpdateClient.

Предыдущая статья Следующая статья

Редактор групповых политик для Windows 10 Home Edition

Ведение истории команд в PowerShell v5

Включаем скрытую учетную запись администратора в Windows 10

Восстановление загрузчика в Windows 10 / 8.1 (UEFI)

Загрузка Windows 7/10 с GPT диска на BIOS системе (без UEFI)

Настройка порт форвардинга в Windows

Несколько RDP сессий в Windows 10

Комментариев: 5 Оставить комментарий

Денис 12.08.2016
Не могу понять и найти — где бы посмотреть — откуда черпались обновления.
Все логи, которые доступны к просмотру — это информации не содержат. Отладить WSUS сложно без этого.
Ответить
- itpro 23.08.2016
  Странно — в логе windowsupdate.log должны быть видны url, откуда качались обновления .
  Ответить
- Юрий 25.11.2016
  Денис, привет!
  Возможно тебе поможет утилита Windows Update MiniTool, там есть возможность скопировать ссылки в буфер обмена. Вот пример:
  [ Microsoft Silverlight (KB3193713) ]
  http://download.windowsupdate.com/d/msdownload/update/software/ftpk/2016/10/silverlight_a055deac127335f6c37683e8a3490413810b4620.exe
  [ Обновление определения для Windows Defender – КБ2267602 (Определение 1.233.535.0) ]
  http://download.windowsupdate.com/d/msdownload/update/software/defu/2016/11/am_delta_patch_1.233.526.0_a9900f45fd6d7dc4fc27c50042e87e67753e712c.exe
  Её возможности думаю ты оценишь, вот ссылка:
  http://winitpro.ru/index.php/2015/12/30/utilita-windows-update-minitool/
  Она бесплатна. 2,32 МБ в архиве.
  Программа предназначена для исправления урезанного функционала Windows Update в Windows 10.
  Windows Update MiniTool позволяет:
   Выполнять проверка обновлений
   Скачивание обновлений
   Установку обновлений
   Удаление установленных обновлений
   Скрывать нежелательных обновлений
   Получать прямые ссылки на *.cab/*.exe/*.psf файлы обновлений
   Просматривать историю обновлений
   Настройка автоматических обновлений
   Работает на ОС начиная от Windows XP до Windows 10
  Примечание. Утилита позволяет делать то же, что и сторонний модуль PowerShell PSWindowsUpdate, но в гораздо более удобном графическом интерфейсе.
  Программа портабельная, есть 2 версии: 32-х и 64-х битная.
  Ссылки на актуальную версию и языковые пакеты есть на сайте: http://forum.ru-board.com/topic.cgi?forum=5&topic=48142#2
  https://yadi.sk/d/95eiVNgmj25M4
  Ответить
Alex 05.07.2017
Не работает. Командлет отрабатывает вроде бы без ошибок, но полученный текстовый файл содержит только GUIDы и «No format information found». Похоже еще нужно указать ему какую-то «forma
Ответить
- Yustas 25.07.2017
  https://social.technet.microsoft.com/Forums/ru-RU/4e81956f-9ed0-4dc2-be75-8fb54d065768/windowsupdatelog-no-format-information-found
  Ответить

Оставить комментарий