Новий формат логів агента оновлень Windows 10
У Windows 10 розробники вирішили відмовитися від звичного текстового формату журналу агента служби оновлень (Windows Update) на користь служби журналювання подій, що веде журнали в форматі Event Tracing for Windows (ETW). Такою дією розробники планували збільшити швидкодію системи запису логів і зменшити місце, займане текстовим журналом на диску.
Таким чином, журнал з логами Windows Update більше не зберігається у файлі% windir% \ WindowsUpdate.log. І хоча сам файл все ще присутній в корені папки Windows, в ньому лише зазначено, що для збору логів тепер застосовується формат ETW.
Windows Update logs are now generated using ETW (Event Tracing for Windows).
Please run the Get-WindowsUpdateLog PowerShell command to convert ETW traces into a readable WindowsUpdate.log.
For more information, please visit http://go.microsoft.com/fwlink/?LinkId=518345
Недоліком нової методики журналирования є те, що логи служби Windows Update тепер недоступні для негайного вивчення. Це вкрай незручно для служб підтримки SCCM і WSUS , Які часто використовують журнал WindowsUpdate.log для аналізу роботи системи оновлень.
Для аналізу журналу служби оновлень є можливість конвертувати ETW логи в звичний текстовий формат WindowsUpdate.log. Для цього служить новий командлет PowerShell - Get-WindowsUpdateLog. За допомогою наступної команди можна зробити вибірку по всьому .etl файлів (зберігаються в каталозі C: \ WINDOWS \ Logs \ WindowsUpdate) і отримати один файл журналу звичного формату:
Get-WindowsUpdateLog -logpath C: \ Logs \ WindowsUpdate.log
У процесі першого запуску командлет завантажить і встановить сервер символів Microsoft (Microsoft Internet Symbol Store), потім
- Вважає дані з усіх .etl файлів
- Дані перетворюються в CSV (за замовчуванням) або XML формат
- Дані з файлу в проміжному форматі будуть переконвертовані і додані в тектових файл журналу, наданого в секції LogPath (якщо параметр LogPath, файл WindowsUpdate.log створюється на робочому столі користувача, що запустив команду)
Рада. Ще один спосіб аналізу ETL файлів, але дещо складніший, скористатися для отримання даних з .etl утилітою Tracefmt.exe.
Відкрийте файл журналу за допомогою такої команди PowerShell:
Invoke-Item -Path C: \ Logs \ WindowsUpdate.log
Рада. Зверніть увагу, що створений файл WindowsUpdate.log є статичним і не оновлюється в реальному часі як в попередніх версіях Windows. Щоб оновити дані в ньому, потрібно ще раз запустити командлет Get-WindowsUpdateLog, або створити скрипт, автоматично оновлює файл в реальному часі.
Також для аналізу роботи служби оновлень Windows може бути корисні журнали Event Viewer в розділі Applications and Services Logs -> Microsoft -> Windows -> WindowsUpdateClient.
Com/fwlink/?