Arquivos de log do Windows Update
A tabela a seguir descreve os arquivos de log criados por Windows Update.
Arquivo de log | Localização | Descrição | Quando usar |
---|---|---|---|
windowsupdate.log | C:\Windows\Logs\WindowsUpdate | Começando em Windows 8.1 e continuando no Windows 10, Windows Update cliente usa o Rastreamento de Eventos para ETW (Windows) para gerar logs de diagnóstico. | Se você receber uma mensagem de erro ao executar Windows Update, poderá usar as informações incluídas no arquivo de log Windowsupdate.log para solucionar o problema. |
UpdateSessionOrchestration.etl | C:\ProgramData\USOShared\Logs | Começando Windows 10, o Serviço orquestrador de atualizações é responsável pela sequência de download e instalação de vários tipos de atualização de Windows Update. E os eventos são registrados nesses arquivos .etl. |
|
NotificationUxBroker.etl | C:\ProgramData\USOShared\Logs | A partir de Windows 10, o brinde de notificação ou a faixa é disparado por NotificationUxBroker.exe. | Quando você quiser marcar se a notificação foi disparada ou não. |
CBS.log | %systemroot%\Logs\CBS | Este log fornece insights sobre a parte de instalação de atualização na pilha de manutenção. | Para solucionar problemas relacionados à instalação Windows Update. |
Gerando WindowsUpdate.log
Para mesclar e converter Windows Update arquivos de rastreamento (arquivos.etl) em um único arquivo de WindowsUpdate.log legível, consulte Get-WindowsUpdateLog.
Observação
Quando você executa o cmdlet Get-WindowsUpdateLog , uma cópia do arquivo WindowsUpdate.log é criada como um arquivo de log estático. Ele não é atualizado como o WindowsUpdate.log antigo, a menos que você execute Get-WindowsUpdateLog novamente.
Windows Update componentes de log
O mecanismo Windows Update tem nomes de componentes diferentes. Veja a seguir alguns dos componentes mais comuns que aparecem no arquivo WindowsUpdate.log:
- AGENTE- agente Windows Update
- UA – o Atualizações automático está executando essa tarefa
- AUCLNT- Interação entre a UA e o usuário conectado
- CDM- Gerenciador de Dispositivos
- CMPRESS- Agente de compactação
- API comapi- Windows Update
- DRIVER- Informações do driver de dispositivo
- DTASTOR- Manipula transações de banco de dados
- EEHNDLER- Manipulador de expressão usado para avaliar a aplicabilidade de atualização
- MANIPULADOR- Gerencia os instaladores de atualização
- MISC- Informações gerais do serviço
- OFFLSNC- Detecta atualizações disponíveis sem conexão de rede
- PARSER- Analisar informações de expressão
- PT- Sincroniza as informações de atualizações para o datastore local
- REPORT- Coleta informações de relatórios
- SERVIÇO- Inicialização/desligamento do serviço de Atualizações automático
- SETUP- Instala novas versões do Windows Update cliente quando ele está disponível
- SHUTDWN- Instalar no recurso de desligamento
- WUREDIR- Os arquivos de redirecionamento Windows Update
- WUWEB- O Windows Update controle ActiveX
- ProtocolTalker – Sincronização cliente-servidor
- DownloadManager – Cria e monitora downloads de carga
- Manipulador, Instalação – manipuladores do instalador (CBS e assim por diante)
- EEHandler – Avaliando regras de aplicabilidade de atualização
- DataStore – Cache de dados de atualização localmente
- IdleTimer – Acompanhamento de chamadas ativas, parando um serviço
Observação
Muitas mensagens de log de componentes são inestimáveis se você estiver procurando problemas nessa área específica. No entanto, eles podem ser inúteis se você não filtrar para excluir componentes irrelevantes para que você possa se concentrar no que é importante.
Windows Update estrutura de log
A estrutura de log de atualização do Windows é separada em quatro identidades main:
- Carimbos de Hora
- ID do processo e ID do thread
- Nome do componente
- Atualizar identificadores
- Atualizar iD e número de revisão
- ID de revisão
- Local ID
- Terminologia inconsistente
A estrutura WindowsUpdate.log é discutida nas seções a seguir.
Carimbos de hora
O carimbo de hora indica a hora em que o registro em log ocorre.
- As mensagens geralmente estão em ordem cronológica, mas pode haver exceções.
- Uma pausa durante uma sincronização pode indicar um problema de rede, mesmo que a verificação seja bem-sucedida.
- Uma longa pausa perto do final de uma verificação pode indicar um problema de cadeia de supersedência.
ID do processo e ID do thread
As IDs de processo e as IDs do Thread são aleatórias e podem variar de log para log e até mesmo de sessão de serviço para sessão de serviço no mesmo log.
- Os quatro primeiros dígitos, em hex, são a ID do processo.
- Os próximos quatro dígitos, em hex, são a ID do thread.
- Cada componente, como uso, mecanismo Windows Update, chamadores de API COM e manipuladores do instalador Windows Update, tem sua própria ID de processo.
Nome do componente
Pesquise e identifique os componentes associados às IDs. Diferentes partes do mecanismo Windows Update têm nomes de componentes diferentes. Alguns deles são os seguintes:
- ProtocolTalker – Sincronização cliente-servidor
- DownloadManager – Cria e monitora downloads de carga
- Manipulador, Instalação – manipuladores do instalador (CBS etc.)
- EEHandler – Avaliando regras de aplicabilidade de atualização
- DataStore – Cache de dados de atualização localmente
- IdleTimer – Acompanhamento de chamadas ativas, interrupção do serviço
Atualizar identificadores
Os seguintes itens são identificadores de atualização:
Atualizar iD e número de revisão
Há identificadores diferentes para a mesma atualização em contextos diferentes. É importante conhecer os esquemas de identificador.
- ID de atualização: um GUID (indicado na captura de tela anterior) atribuído a uma determinada atualização no momento da publicação
- Número de revisão: um número incrementado sempre que uma determinada atualização (que tem uma determinada ID de atualização) é modificada e republicada em um serviço
- Os números de revisão são reutilizados de uma atualização para outra (não de um identificador exclusivo).
- A ID de atualização e o número de revisão geralmente são mostrados juntos como "{GUID}.revision".
ID de revisão
- Uma ID de Revisão (não confunda esse valor com "número de revisão") é um número de série emitido quando uma atualização é inicialmente publicada ou revisada em um determinado serviço.
- Uma atualização existente que é revisada mantém a mesma ID de atualização (GUID), tem seu número de revisão incrementado (por exemplo, de 100 para 101), mas obtém uma nova ID de revisão que não está relacionada à ID anterior.
- As IDs de revisão são exclusivas em uma determinada fonte de atualização, mas não em várias fontes.
- A mesma revisão de atualização pode ter IDs de revisão diferentes em Windows Update e WSUS.
- A mesma ID de revisão pode representar atualizações diferentes no Windows Update e no WSUS.
Local ID
- A ID local é um número de série emitido por um determinado cliente Windows Update quando uma atualização é recebida de um serviço.
- Normalmente visto em logs de depuração, especialmente envolvendo o cache local para informações de atualização (Datastore)
- PCs cliente diferentes atribuem IDs locais diferentes à mesma atualização
- Você pode encontrar as IDs locais que um cliente está usando obtendo o arquivo %WINDIR%\SoftwareDistribution\Datastore\Datastore.edb do cliente
Terminologia inconsistente
Às vezes, os logs usam termos de forma inconsistente. Por exemplo, a lista InstalledNonLeafUpdateIDs realmente contém IDs de revisão, não IDs de atualização.
Reconhecer IDs por formulário e contexto:
- GUIDs são IDs de atualização
- Pequenos inteiros que aparecem ao lado de uma ID de atualização são números de revisão
- Inteiros grandes normalmente são IDs de revisão
- Pequenos inteiros (especialmente no Datastore) podem ser IDs locais
Análise de arquivos de log de instalação do Windows usando a ferramenta SetupDiag
SetupDiag é uma ferramenta de diagnóstico que pode ser usada para análise de logs relacionados à instalação do Windows Atualizações. Para obter informações detalhadas, consulte SetupDiag.