У Windows 10 розробники вирішили відмовитися від звичного текстового формату журналу агента служби оновлень (Windows Update) на користь служби журналювання подій, що веде журнали в форматі Event Tracing for Windows (ETW). Такою дією розробники планували збільшити швидкодію системи запису логів і зменшити місце, займане текстовим журналом на диску.

Таким чином, журнал з логами Windows Update більше не зберігається у файлі% windir% \ WindowsUpdate.log. І хоча сам файл все ще присутній в корені папки Windows, в ньому лише зазначено, що для збору логів тепер застосовується формат ETW.

Windows Update logs are now generated using ETW (Event Tracing for Windows).

Please run the Get-WindowsUpdateLog PowerShell command to convert ETW traces into a readable WindowsUpdate.log.

For more information, please visit http://go.microsoft.com/fwlink/?LinkId=518345

Недоліком нової методики журналирования є те, що логи служби Windows Update тепер недоступні для негайного вивчення. Це вкрай незручно для служб підтримки SCCM і WSUS , Які часто використовують журнал WindowsUpdate.log для аналізу роботи системи оновлень.

Для аналізу журналу служби оновлень є можливість конвертувати ETW логи в звичний текстовий формат WindowsUpdate.log. Для цього служить новий командлет PowerShell - Get-WindowsUpdateLog. За допомогою наступної команди можна зробити вибірку по всьому .etl файлів (зберігаються в каталозі C: \ WINDOWS \ Logs \ WindowsUpdate) і отримати один файл журналу звичного формату:

Get-WindowsUpdateLog -logpath C: \ Logs \ WindowsUpdate.log

У процесі першого запуску командлет завантажить і встановить сервер символів Microsoft (Microsoft Internet Symbol Store), потім

1. Вважає дані з усіх .etl файлів
2. Дані перетворюються в CSV (за замовчуванням) або XML формат
3. Дані з файлу в проміжному форматі будуть переконвертовані і додані в тектових файл журналу, наданого в секції LogPath (якщо параметр LogPath, файл WindowsUpdate.log створюється на робочому столі користувача, що запустив команду)

Рада. Ще один спосіб аналізу ETL файлів, але дещо складніший, скористатися для отримання даних з .etl утилітою Tracefmt.exe.

Відкрийте файл журналу за допомогою такої команди PowerShell:

Invoke-Item -Path C: \ Logs \ WindowsUpdate.log

Рада. Зверніть увагу, що створений файл WindowsUpdate.log є статичним і не оновлюється в реальному часі як в попередніх версіях Windows. Щоб оновити дані в ньому, потрібно ще раз запустити командлет Get-WindowsUpdateLog, або створити скрипт, автоматично оновлює файл в реальному часі.

Також для аналізу роботи служби оновлень Windows може бути корисні журнали Event Viewer в розділі Applications and Services Logs -> Microsoft -> Windows -> WindowsUpdateClient.