Windows Update 記錄檔
下表描述 Windows Update 所建立的記錄檔。
| 記錄檔 | 位置 | 描述 | 使用時機 |
|---|---|---|---|
| windowsupdate.log | C:\Windows\Logs\WindowsUpdate | 從 Windows 8.1 開始並繼續進行 Windows 10,Windows Update 用戶端會使用 Windows 事件追蹤 (ETW) 來產生診斷記錄。 | 如果您在執行 Windows Update 時收到錯誤訊息,您可以使用Windowsupdate.log記錄檔中包含的資訊來針對問題進行疑難解答。 |
| UpdateSessionOrchestration.etl | C:\ProgramData\USOShared\Logs | 從 Windows 10 開始,更新 Orchestrator 服務 負責從 Windows Update 下載和安裝各種更新類型。 而事件會記錄到這些 .etl 檔案。 |
|
| NotificationUxBroker.etl | C:\ProgramData\USOShared\Logs | 從 Windows 10 開始,通知快顯通知或橫幅會由 NotificationUxBroker.exe 觸發。 | 當您想要檢查是否觸發通知時。 |
| CBS.log | %systemroot%\Logs\CBS | 此記錄可讓您深入瞭解維護堆疊中的更新安裝部分。 | 若要針對 Windows Update 安裝的相關問題進行疑難解答。 |
產生WindowsUpdate.log
若要將 Windows Update (.etl 檔案) 的追蹤檔案合併並轉換成單一可讀取的WindowsUpdate.log檔案,請參閱 Get-WindowsUpdateLog。
注意
當您執行 Get-WindowsUpdateLog Cmdlet 時,WindowsUpdate.log檔案的複本會建立為靜態記錄檔。 除非您再次執行 Get-WindowsUpdateLog ,否則不會更新為舊WindowsUpdate.log。
Windows Update 記錄元件
Windows Update引擎有不同的元件名稱。 以下是出現在WindowsUpdate.log檔案中的一些最常見元件:
- AGENT- Windows Update 代理程式
- AU - 自動 匯報 正在執行這項工作
- AUCLNT - AU 與登入使用者之間的互動
- CDM- 裝置管理員
- CMPRESS - 壓縮代理程式
- COMAPI- Windows Update API
- 驅動程式 - 裝置驅動器資訊
- DTASTOR - 處理資料庫交易
- EEHNDLER - 用來評估更新適用性的運算式處理程式
- HANDLER - 管理更新安裝程式
- MISC - 一般服務資訊
- OFFLSNC - 偵測沒有網路連線的可用更新
- PARSER - 剖析運算式資訊
- PT - 將更新資訊同步處理至本機數據存放區
- REPORT - 收集報告資訊
- SERVICE - 自動 匯報 服務的啟動/關機
- SETUP - 在 Windows Update 用戶端可用時安裝新版本
- SHUTDWN - 在關機時安裝功能
- WUREDIR - Windows Update 重新導向器檔案
- WUWEB - Windows Update ActiveX 控制件
- ProtocolTalker - 用戶端伺服器同步處理
- DownloadManager - 建立和監視承載下載
- 處理程式、安裝程式 - 安裝程式處理程式 (CBS 等)
- EEHandler - 評估更新適用性規則
- DataStore - 在本機快取更新數據
- IdleTimer - 追蹤作用中呼叫、停止服務
注意
如果您要尋找該特定區域中的問題,許多元件記錄訊息都是無價的。 不過,如果您不篩選以排除不相關的元件,讓您可以專注於重要的元件,則它們可能沒有用處。
Windows Update 記錄結構
Windows 更新記錄結構分成四個主要身分識別:
- 時間戳
- 進程標識碼和線程標識碼
- 元件名稱
- 更新標識碼
- 更新標識碼和修訂編號
- 修訂標識碼
- 本機標識碼
- 不一致的術語
下列各節將討論WindowsUpdate.log結構。
時間戳
時間戳表示記錄發生的時間。
- 訊息通常依時間順序排列,但可能會有例外狀況。
- 同步期間暫停可能表示網路問題,即使掃描成功也一樣。
- 掃描結尾附近的長時間暫停可能表示取代鏈結問題。
進程標識碼和線程標識碼
進程標識碼和線程標識碼是隨機的,而且可能因記錄檔而異,甚至是從服務會話到相同記錄內的服務會話。
- 前四個數位,以十六進位為單位,是進程標識符。
- 接下來的四位數,以十六進位為單位,是線程標識符。
- 每個元件,例如 USO、Windows Update 引擎、COM API 呼叫端和 Windows Update 安裝程式處理程式,都有自己的進程識別碼。
元件名稱
搜尋並識別與標識符相關聯的元件。 Windows Update引擎的不同部分有不同的元件名稱。 其中一些如下所示:
- ProtocolTalker - 用戶端伺服器同步處理
- DownloadManager - 建立和監視承載下載
- 處理程式、安裝程式 - (CBS 等的安裝程式處理程式 )
- EEHandler - 評估更新適用性規則
- DataStore - 在本機快取更新數據
- IdleTimer - 追蹤作用中呼叫、停止服務
更新標識碼
下列專案是更新識別碼:
更新標識碼和修訂編號
在不同內容中,相同更新有不同的標識符。 請務必瞭解標識碼配置。
- 更新標識碼:上一個螢幕快照中指出的 GUID (,) 在發行時指派給指定的更新
- 修訂編號:每次在服務上修改並重新發佈具有指定更新標識符) 的指定更新 (時,就會遞增的數位
- 修訂編號會從某個更新重複使用到另一個更新, (不是唯一標識符) 。
- 更新標識碼和修訂編號通常會一起顯示為 “{GUID}.revision”。
修訂標識碼
- 修訂標識碼 (不會將此值與「修訂編號」混淆 ) 為在指定服務上最初發佈或修訂更新時所發出的序號。
- 修訂的現有更新會保留相同的更新標識碼 (GUID) ,其修訂編號會 (例如,從 100 到 101) ,但會取得與先前標識符無關的新修訂標識符。
- 修訂標識碼在指定的更新來源上是唯一的,但不是跨多個來源。
- 相同的更新修訂在 Windows Update 和 WSUS 上可能會有不同的修訂標識碼。
- 相同的修訂標識碼可能代表 Windows Update 和 WSUS 上的不同更新。
本機標識碼
- 本機標識碼是從服務收到更新時,由指定 Windows Update 客戶端發出的序號。
- 通常會出現在偵錯記錄中,特別是涉及本機快取以取得數據存放區 (更新資訊)
- 不同的用戶端計算機會將不同的本機標識符指派給相同的更新
- 您可以藉由取得用戶端的 %WINDIR%\SoftwareDistribution\Datastore\Datastore.edb 檔案,找到用戶端正在使用的本機標識符
不一致的術語
有時候記錄會以不一致的方式使用字詞。 例如,InstalledNonLeafUpdateIDs 清單實際上包含修訂標識碼,而不是更新標識符。
依表單和內容辨識識別碼:
- GUID 是更新識別碼
- 出現在更新標識元旁邊的小整數是修訂編號
- 大型整數通常是修訂標識碼
- 小整數 (特別是在數據存放區) 可以是本機標識
使用 SetupDiag 工具進行 Windows 安裝程式記錄檔分析
SetupDiag 是診斷工具,可用來分析與安裝 Windows 匯報 相關的記錄。 如需詳細資訊,請 參閱 SetupDiag。