Windows Update のログ ファイル

次の表では、Windows Update によって作成されるログ ファイルについて説明します。

ログ ファイル 場所 説明 用途
windowsupdate.log C:\Windows\Logs\WindowsUpdate Windows 8.1 以降、引き続き Windows 10 において、Windows Update クライアントは Event Tracing for Windows (ETW) を使用して診断ログを生成します。 Windows Updateの実行時にエラー メッセージが表示された場合は、Windowsupdate.log ログ ファイルに含まれている情報を使用して問題のトラブルシューティングを行うことができます。
UpdateSessionOrchestration.etl C:\ProgramData\USOShared\Logs Windows 10以降、Orchestrator Service の更新は、Windows Updateのさまざまな更新プログラムの種類のダウンロードとインストールのシーケンスを担当します。 イベントは、これらの .etl ファイルに記録されます。
  • 更新プログラムが利用可能であるのにダウンロードがトリガーされていないことが確認された場合。
  • 更新プログラムがダウンロードされたが、インストールがトリガーされない場合。
  • 更新プログラムがインストールされていても再起動がトリガーされない場合。
NotificationUxBroker.etl C:\ProgramData\USOShared\Logs Windows 10 以降、通知トーストまたはバナーは、NotificationUxBroker.exe によってトリガーされます。 通知がトリガーされたかどうかを確認するとき。
CBS.log %systemroot%\Logs\CBS このログでは、サービス スタックの、更新プログラムのインストールに関する部分の分析が提供されます。 Windows Update のインストールに関する問題のトラブルシューティングを行うとき。

WindowsUpdate.log の生成

複数の Windows Update トレース ファイル (.etl ファイル) を読み取り可能な 1 つの WindowsUpdate.log ファイルに結合および変換する方法については、「Get-WindowsUpdateLog」を参照してください。

Get-WindowsUpdateLog コマンドレットを実行すると、WindowsUpdate.log ファイルのコピーが静的なログ ファイルとして生成されます。 Get-WindowsUpdateLogをもう一度実行しない限り、古い WindowsUpdate.log として更新されません。

Windows Update ログ コンポーネント

Windows Update エンジンには、さまざまなコンポーネント名が付いています。 WindowsUpdate.log ファイルに表示される一般的なコンポーネントには、以下のようなものが含まれます。

  • AGENT- Windows Update エージェント
  • AU - 自動更新がこのタスクを実行します
  • AUCLNT - AU とログオンしているユーザーの間の対話
  • CDM - デバイス マネージャー
  • CMPRESS - 圧縮エージェント
  • COMAPI - Windows Update API
  • DRIVER - デバイス ドライバー情報
  • DTASTOR - データベース トランザクションの処理
  • EEHNDLER - 更新プログラムの適用性を評価するために使用される式ハンドラー
  • HANDLER - 更新プログラムのインストーラーの管理
  • MISC - 全般的なサービス情報
  • OFFLSNC - ネットワークに接続されていないときに利用可能な更新プログラムを検出
  • PARSER - 式情報の解析
  • PT - 更新プログラム情報をローカル データストアに同期
  • REPORT - レポート情報の収集
  • SERVICE - 自動更新サービスの起動およびシャットダウン
  • SETUP - Windows Update クライアントが使用可能になったときに新しいバージョンのクライアントをインストールします
  • SHUTDWN - シャットダウン時にインストールを行う
  • WUREDIR - Windows Update リダイレクター ファイル
  • WUWEB - Windows Update ActiveX コントロール
  • ProtocolTalker - クライアントとサーバーの同期
  • DownloadManager - ペイロード ダウンロードの作成および監視
  • ハンドラー、セットアップ - インストーラー ハンドラー (CBS など)
  • EEHandler - 更新プログラムの適用性ルールの評価
  • DataStore - 更新データのローカルでのキャッシュ
  • IdleTimer - アクティブな呼び出しの追跡、サービスの停止

多くのコンポーネント ログ メッセージは、該当する領域での問題を探している場合に、非常に有益です。 ただし、目的の内容に集中できるようフィルター処理を行って関係のないコンポーネントを除外しない場合、これらのコンポーネントの使用価値は低くなる可能性があります。

Windows Update ログの構造

Windows Update のログ構造は、大きく 4 つの識別情報に分かれています。

  • タイム スタンプ
  • プロセス ID とスレッド ID
  • コンポーネント名
  • 更新プログラム ID
    • 更新プログラム ID とリビジョン番号
    • リビジョン ID
    • ローカル ID
    • 用語の不統一

次のセクションでは、WindowsUpdate.log の構造について説明します。

タイム スタンプ

タイム スタンプは、ログ記録が行われた日時を示します。

  • 通常、メッセージは日付順に表示されますが、例外がある場合があります。
  • 同期中に発生した一時停止は、スキャンが成功した場合であっても、ネットワークの問題を示している可能性があります。
  • スキャンの終了間際の長い一時停止は、優先チェーンの問題を示している可能性があります。
    Windows Update のタイム スタンプ。

プロセス ID とスレッド ID

プロセス ID とスレッド ID はランダムな ID で、ログごとに異なったり、同じログ内であってもサービス セッションごとに異なったりします。

  • 最初の 4 桁 (16 進数) はプロセス ID です。
  • 次の 4 桁の 16 進数字はスレッド ID です。
  • USO、Windows Update エンジン、COM API 呼び出し元、Windows Update インストーラー ハンドラーなどの各コンポーネントは、専用のプロセス ID を持っています。
    Windows Update のプロセス ID とスレッド ID。

コンポーネント名

ID に関連付けられているコンポーネントを検索して特定します。 Windows Update エンジンの異なる部分には、異なるコンポーネント名が付いています。 たとえば、次のようなコンポーネント名があります。

  • ProtocolTalker - クライアントとサーバーの同期
  • DownloadManager - ペイロード ダウンロードの作成および監視
  • Handler, Setup - インストーラー ハンドラー (CBS など)
  • EEHandler - 更新プログラムの適用性ルールの評価
  • DataStore - 更新データのローカルでのキャッシュ
  • IdleTimer - アクティブな呼び出しの追跡、サービスの停止

Windows Update コンポーネント名。

更新プログラムの識別子

次の項目は更新識別子です。

更新プログラム ID とリビジョン番号

同一の更新プログラムに対して、異なるコンテキストごとに異なる識別子が使用されます。 識別子のスキームを理解しておくことが大切です。

  • 更新 ID: 発行時に特定の更新プログラムに割り当てられた GUID (前のスクリーンショットに示されています)
  • リビジョン番号: サービスでそれぞれの (付与された更新プログラム ID を持つ) 更新プログラムが変更されて再公開されるたびに 1 ずつ増える番号
  • リビジョン番号は、更新プログラム間で再使用されます (一意の識別子ではありません)。
  • 更新 ID とリビジョン番号は、多くの場合、"{GUID}.revision" と一緒に表示されます。更新識別子をWindows Updateします。

リビジョン ID

  • リビジョン ID (この値を "リビジョン番号" と混同しないでください) は、特定のサービスで更新プログラムが最初に発行または変更されたときに発行されるシリアル番号です。
  • 変更された既存の更新プログラムでは、同じ更新 ID (GUID) が保持され、リビジョン番号がインクリメントされますが (たとえば、100 から 101 まで)、以前の ID に関連しない新しいリビジョン ID が取得されます。
  • リビジョン ID は特定の更新ソースに固有ですが、複数のソース間では異なります。
  • 同じ更新プログラムのリビジョンが、Windows Update 上と WSUS 上とで異なるリビジョン ID を持つ可能性があります。
  • 同じリビジョン ID が表す更新プログラムが、Windows Update 上と WSUS 上とで異なる可能性があります。

ローカル ID

  • ローカル ID は、サービスから更新プログラムを受信したときに、特定のWindows Update クライアントによって発行されるシリアル番号です。
  • 通常はデバッグ ログに記載されます。更新情報のローカル キャッシュ (データストア) に関するものは特にそうです。
  • 異なるクライアント PC が同じ更新プログラムに異なるローカル ID を割り当てる
  • クライアントで使用されているローカル ID は、クライアントの %WINDIR%\SoftwareDistribution\Datastore\Datastore.edb ファイルを取得することにより確認できます。

用語の不統一

  • ログでの用語の使用方法が統一されていなことがあります。 たとえば、InstalledNonLeafUpdateIDs リストに実際に含まれているのは、更新プログラム ID ではなくリビジョン ID です。

  • ID は、フォームやコンテキストによって認識するようにします。

    • GUID は、更新プログラム ID です
    • 更新プログラム ID の横に表示される小さな整数は、リビジョン番号です
    • 通常、大きな整数は、リビジョン ID です
    • 小さな整数 (特にデータストア) は、ローカル ID Windows Updateインコンシステン用語にすることができます。

SetupDiag ツールによる Windows Setup ログ フィアルの分析

SetupDiag は、Windows 更新プログラムのインストール関連ログの分析に使用できる診断ツールです。 詳細については、「SetupDiag」を参照してください。