Windows Update-Protokolldateien

Die folgende Tabelle beschreibt die Protokolldateien, die von Windows Update erstellt werden.

Protokolldatei Ort Beschreibung Verwendungsszenarien
windowsupdate.log C:\Windows\Logs\WindowsUpdate Seit Windows 8.1 (und auch in Windows 10) verwendet der Windows Update-Client die Ereignisablaufverfolgung für Windows (ETW), um Diagnoseprotokolle zu generieren. Wenn Sie beim Ausführen von Windows Update eine Fehlermeldung erhalten, können Sie die informationen in der Windowsupdate.log Protokolldatei verwenden, um das Problem zu beheben.
UpdateSessionOrchestration.etl C:\ProgramData\USOShared\Logs Ab Windows 10 ist der Update Orchestrator Service für die Reihenfolge des Herunterladens und Installierens verschiedener Updatetypen aus Windows Update verantwortlich. Die Ereignisse werden in diesen ETL-Dateien protokolliert.
  • Wenn Sie sehen, dass die Updates verfügbar sind, der Download jedoch nicht ausgelöst wird.
  • Wenn Updates heruntergeladen werden, die Installation aber nicht ausgelöst wird.
  • Wenn Updates installiert sind, aber kein Neustart ausgelöst wird.
NotificationUxBroker.etl C:\ProgramData\USOShared\Logs Seit Windows 10 wird das Benachrichtigungspopup oder -banner durch die Datei "NotificationUxBroker.exe" ausgelöst. Wenn Sie überprüfen möchten, ob die Benachrichtigung ausgelöst wurde oder nicht.
CBS.log %systemroot%\Logs\CBS Dieses Protokoll bietet einen Einblick in das Updateinstallationselement im Wartungsstapel. Zum Behandeln der Problemen im Zusammenhang mit der Installation über Windows Update.

Generieren von WindowsUpdate.log

Informationen zum Zusammenführen und Konvertieren von Windows Update-Ablaufverfolgungsdateien (ETL-Dateien) in eine einzige lesbare WindowsUpdate.log-Datei finden Sie unter Get-WindowsUpdateLog.

Hinweis

Wenn Sie das Cmdlet Get-WindowsUpdateLog ausführen, wird eine Kopie der Datei "WindowsUpdate.log" als statische Protokolldatei erstellt. Es erfolgt kein Update der alten WindowsUpdate.log-Datei, es sei denn, Sie führen Get-WindowsUpdateLog erneut aus.

Windows Update-Protokollkomponenten

Das Windows Update-Modul hat verschiedene Komponentennamen. Im folgenden werden einige der am häufigsten verwendeten Komponenten aufgeführt, die in der Datei "WindowsUpdate.log" aufgeführt sind:

  • AGENT: Windows Update-Agent
  • AU: Automatische Updates führen diesen Task aus.
  • AUCLNT: Interaktion zwischen AU und dem angemeldeten Benutzer
  • CDM: Geräte-Manager
  • CMPRESS: Komprimierungs-Agent
  • COMAPI: Windows Update-API
  • DRIVER: Gerätetreiberinformationen
  • DTASTOR: Verarbeitet Datenbanktransaktionen
  • EEHNDLER: Ausdruckshandler, der verwendet wird, um die Anwendbarkeit eines Updates zu bewerten
  • HANDLER: Verwaltet die Updateinstallationsprogramme
  • MISC: Allgemeine Dienstinformationen
  • OFFLSNC: Erkennt verfügbare Updates ohne Netzwerkverbindung
  • PARSER: Analysiert Ausdrucksinformationen
  • PT: Synchronisiert Updateinformationen mit dem lokalen Datenspeicher
  • REPORT: Sammelt Berichtsinformationen
  • SERVICE: Starten/Herunterfahren des Diensts für automatische Updates
  • SETUP: Installiert neue Versionen des Windows Update-Clients, wenn er verfügbar ist
  • SHUTDWN: Feature "Beim Herunterfahren installieren"
  • WUREDIR: Die Windows Update-Redirector-Dateien
  • WUWEB: Das Windows Update-ActiveX-Steuerelement
  • ProtocolTalker: Client-Server-Synchronisierung
  • DownloadManager: Erstellt und überwacht Nutzlastdownloads
  • Handler, Setup – Installer-Handler (CBS usw.)
  • EEHandler: Auswerten von auf das Update anwendbaren Regeln
  • DataStore: Lokales Zwischenspeichern von Updatedaten
  • IdleTimer: Nachverfolgen aktiver Anrufe, Beenden eines Diensts

Hinweis

Viele Protokollmeldungen von Komponenten sind von unschätzbarem Wert, wenn Sie nach Problemen in diesem bestimmten Bereich suchen. Sie können jedoch nutzlos sein, wenn irrelevante Komponenten nicht herausgefiltert werden, um sich auf das Wesentliche konzentrieren zu können.

Windows Update-Protokollstruktur

Die Windows Update-Protokollstruktur ist in vier Hauptidentitäten unterteilt:

  • Zeitstempel
  • Prozess-ID und Thread-ID
  • Komponentenname
  • Updatebezeichner
    • Update-ID und Revisionsnummer
    • Revisions-ID
    • Lokale ID
    • Inkonsistente Terminologie

Die WindowsUpdate.log-Struktur wird in den folgenden Abschnitten behandelt.

Zeitstempel

Der Zeitstempel gibt den Zeitpunkt der Protokollierung an.

  • Meldungen werden in der Regel in chronologische Reihenfolge aufgeführt, es gibt jedoch Ausnahmen.
  • Eine Pause während einer Synchronisierung kann auf ein Netzwerkproblem hindeuten, auch wenn die Überprüfung erfolgreich ist.
  • Eine lange Pause gegen Ende einer Überprüfung kann auf ein Problem in der Ablösungskette hindeuten.
    Windows Update Zeitstempel.

Prozess-ID und Thread-ID

Die Prozess- und Thread-IDs sind zufällig und können sich von Protokoll zu Protokoll und sogar von Dienstsitzung zu Dienstsitzung innerhalb des gleichen Protokolls unterscheiden.

  • Die ersten vier Ziffern im Hexadiff sind die Prozess-ID.
  • Die nächsten vier Ziffern im Hexadenzbereich sind die Thread-ID.
  • Jede Komponente, z. B. USO, Windows Update-Modul, COM API-Caller und Windows Update-Installationsprogrammhandler, hat eine eigene Prozess-ID.
    Windows Update Prozess- und Thread-IDs.

Komponentenname

Suchen Sie nach den Komponenten, die mit den IDs verknüpft sind, und identifizieren Sie diese. Unterschiedliche Teile des Windows Update-Moduls weisen unterschiedliche Komponentennamen auf. Einige davon sind beispielsweise:

  • ProtocolTalker: Client-Server-Synchronisierung
  • DownloadManager: Erstellt und überwacht Nutzlastdownloads
  • Handler, Setup: Installationsprogrammhandler (CBS usw.)
  • EEHandler: Auswerten von auf das Update anwendbaren Regeln
  • DataStore: Lokales Zwischenspeichern von Updatedaten
  • IdleTimer: Nachverfolgen aktiver Anrufe, Beenden des Diensts

Windows Update Komponentenname.

Updatebezeichner

Die folgenden Elemente sind Updatebezeichner:

Update-ID und Revisionsnummer

Es gibt verschiedene Bezeichner für dasselbe Update in unterschiedlichen Kontexten. Es ist wichtig, die Bezeichnerschemas zu kennen.

  • Update-ID: Eine GUID (im vorherigen Screenshot angegeben), die einem bestimmten Update zum Zeitpunkt der Veröffentlichung zugewiesen ist
  • Revisionsnummer: Eine Zahl, die jedes Mal erhöht wird, wenn ein bestimmtes Update (mit einer bestimmten Update-ID) in einem Dienst geändert und erneut veröffentlicht wird.
  • Revisionsnummern werden von einem Update zum anderen (keine eindeutigen Bezeichner) wieder verwendet.
  • Die Update-ID und die Revisionsnummer werden häufig zusammen als "{GUID}.revision" angezeigt. Windows Update Aktualisieren von Bezeichnern.

Revisions-ID

  • Eine Revisions-ID (verwechseln Sie diesen Wert nicht mit "Revisionsnummer") ist eine Seriennummer, die ausgegeben wird, wenn ein Update anfänglich für einen bestimmten Dienst veröffentlicht oder überarbeitet wird.
  • Ein vorhandenes Update, das überarbeitet wird, behält dieselbe Update-ID (GUID) bei, seine Revisionsnummer wird inkrementiert (z. B. von 100 auf 101), erhält jedoch eine neue Revisions-ID, die nicht mit der vorherigen ID verknüpft ist.
  • Revisions-IDs sind für eine bestimmten Updatequelle eindeutig, nicht jedoch über mehrere Quellen hinweg.
  • Die gleiche Updaterevision weist möglicherweise unterschiedliche Revisions-IDs für Windows Update und WSUS auf.
  • Die gleiche Revisions-ID kann unterschiedliche Updates für Windows Update und WSUS darstellen.

Lokale ID

  • Die lokale ID ist eine Seriennummer, die von einem bestimmten Windows Update Client ausgegeben wird, wenn ein Update von einem Dienst empfangen wird.
  • In der Regel in Debugprotokollen zu finden, insbesondere im Zusammenhang mit dem lokalen Cache für Updateinformationen (Datenspeicher).
  • Verschiedene Client-PCs weisen demselben Update unterschiedliche lokale IDs zu
  • Sie können die von einem Client verwendeten lokalen IDs ermitteln, indem Sie die Datei "%WINDIR%\SoftwareDistribution\Datastore\Datastore.edb" des Clients abrufen.

Inkonsistente Terminologie

  • Manchmal verwenden die Protokolle Ausdrücke inkonsistent. So enthält beispielsweise die InstalledNonLeafUpdateIDs-Liste eigentlich Revisions-IDs und keine Update-IDs.

  • So erkennen Sie IDs anhand des Formats und Kontexts

    • GUIDs sind Update-IDs
    • Kleine ganze Zahlen, die zusammen mit einer Update-ID angezeigt werden, sind Revisionsnummern.
    • Große ganze Zahlen sind in der Regel Revisions-IDs
    • Kleine ganze Zahlen (insbesondere im Datenspeicher) können lokale IDs Windows Update inkonsistenzen Terminologie sein.

Analyse der Windows Setup-Protokolldateien mithilfe des SetupDiag-Tools

SetupDiag ist ein Diagnosetool, das für die Analyse von Protokollen im Zusammenhang mit der Installation von Windows-Updates verwendet werden kann. Ausführliche Informationen finden Sie unter SetupDiag.