Fichiers journaux de Windows Update

Le tableau suivant décrit les fichiers journaux créés par Windows Update.

Fichier journal Emplacement Description Quand l’utiliser
windowsupdate.log C:\Windows\Logs\WindowsUpdate Depuis Windows 8.1 et dans Windows 10, le client Windows Update utilise le suivi d’événements pour Windows (ETW) pour générer des journaux de diagnostic. Si vous recevez un message d’erreur lorsque vous exécutez Windows Update, vous pouvez utiliser les informations incluses dans le fichier journal Windowsupdate.log pour résoudre le problème.
UpdateSessionOrchestration.etl C:\ProgramData\USOShared\Logs À partir Windows 10, le Service Orchestrator pour les mises à jour est responsable de la séquence de téléchargement et d’installation de différents types de mises à jour à partir de Windows Update. Les événements sont enregistrés dans ces fichiers .etl.
  • Lorsque vous voyez que les mises à jour sont disponibles, mais que le téléchargement n’est pas déclenché.
  • Lorsque des mises à jour sont téléchargées mais que l’installation n’est pas déclenchée.
  • Lorsque les mises à jour sont installées, mais que le redémarrage n’est pas déclenché.
NotificationUxBroker.etl C:\ProgramData\USOShared\Logs À partir de Windows 10, la notification Toast ou la bannière est déclenchée par NotificationUxBroker.exe. Lorsque vous voulez vérifier si la notification a été déclenchée ou non.
CBS.log %systemroot%\Logs\CBS Ce journal fournit des informations détaillées sur la partie installation de la mise à jour de la pile de maintenance. Pour résoudre les problèmes liés à l’installation de Windows Update.

Génération de WindowsUpdate.log

Pour fusionner et convertir les fichiers de suivi Windows Update (fichiers .etl) dans un fichier WindowsUpdate.log unique lisible, consultez Get-WindowsUpdateLog.

Remarque

Lorsque vous exécutez l’applet de commande Get-WindowsUpdateLog, une copie du fichier WindowsUpdate.log est créée sous la forme d’un fichier journal statique. Il ne se met pas à jour comme l'ancien WindowsUpdate.log à moins que vous n'exécutiez à nouveauGet-WindowsUpdateLog.

Composants des fichiers journaux de Windows Update

Le moteur Windows Update a des noms de composants différents. Voici quelques-uns des composants les plus courants qui apparaissent dans le fichier WindowsUpdate.log :

  • AGENT : agent Windows Update
  • AU : le service Mises à jour automatiques effectue cette tâche
  • AUCLNT : interaction entre AU et l’utilisateur connecté
  • CDM : gestionnaire de périphériques
  • CMPRESS : agent de compression
  • COMAPI : API Windows Update
  • DRIVER : informations sur les pilotes de périphériques
  • DTASTOR : gère les transactions de base de données
  • EEHNDLER : gestionnaire d’expression utilisé pour évaluer l’applicabilité de la mise à jour
  • HANDLER : gère les programmes d’installation des mises à jour
  • MISC : informations de service générales
  • OFFLSNC : détecte les mises à jour disponibles sans connexion réseau
  • PARSER : analyse les informations sur les expressions
  • PT : synchronise les informations de mise à jour du magasin de données local
  • REPORT : collecte les informations de rapport
  • SERVICE : démarrage/arrêt du service Mises à jour automatiques
  • INSTALLATION : installe les nouvelles versions du client Windows Update lorsqu’il est disponible
  • SHUTDWN : fonction d’installation à l’arrêt
  • WUREDIR : fichiers du redirecteur Windows Update
  • WUWEB : contrôle ActiveX Windows Update
  • ProtocolTalker : synchronisation client-serveur
  • DownloadManager : crée et surveille les téléchargements de charge utile
  • Gestionnaire, Programme d’installation - Gestionnaires d’installation (CBS, et ainsi de suite)
  • EEHandler : évaluation des règles d’applicabilité de mise à jour
  • DataStore : mise en cache des données localement
  • IdleTimer : suivi des appels actifs, arrêt d’un service

Remarque

De nombreux messages de journaux de composants sont très utiles si vous recherchez des problèmes dans cette zone spécifique. Cependant, ils peuvent se révéler inutiles si vous ne filtrez pas afin d’exclure les composants non pertinents pour vous concentrer sur ce qui est important.

Structure des fichiers journaux de Windows Update

La structure des fichiers journaux de Windows Update comporte quatre identités principales :

  • Horodatage
  • ID de processus et de thread
  • Nom du composant
  • Identificateurs des mises à jour
    • ID de mise à jour et numéro de révision
    • ID de révision
    • ID local
    • Terminologie incohérente

La structure du fichier WindowsUpdate.log est présentée dans les sections suivantes.

Horodatage

L’horodatage indique l’heure à laquelle la journalisation a lieu.

  • Les messages sont généralement dans l’ordre chronologique, mais il peut y avoir des exceptions.
  • Une pause pendant une synchronisation peut indiquer un problème réseau, même si l’analyse réussit.
  • Une pause prolongée vers la fin d’une analyse peut indiquer un problème de chaîne de remplacement.
    Horodatages Windows Update.

ID de processus et ID de thread

Les ID de processus et de threads sont aléatoires, et peuvent varier d’un journal à un autre, et même d’une session de service à une autre, au sein du même journal.

  • Les quatre premiers chiffres, en hexadécimal, sont l’ID de processus.
  • Les quatre chiffres suivants, en hexadécimal, sont l’ID de thread.
  • Chaque composant, tel que USO, le moteur Windows Update, les appelants d’API COM et les gestionnaires du programme d’installation de Windows Update, possède son propre ID de processus.
    ID de processus et de thread Windows Update.

Nom du composant

Recherchez et identifiez les composants associés aux ID. Différentes parties du moteur Windows Update possèdent des noms de composants différents. Il s’agit notamment des composants suivants :

  • ProtocolTalker : synchronisation client-serveur
  • DownloadManager : crée et surveille les téléchargements de charge utile
  • Handler, Setup : gestionnaires d’installation (CBS, etc.)
  • EEHandler : évaluation des règles d’applicabilité de mise à jour
  • DataStore : mise en cache des données localement
  • IdleTimer : suivi des appels actifs, arrêt de service

Nom du composant Windows Update.

Identificateurs de mises à jour

Les éléments suivants sont des identificateurs de mise à jour :

ID de mise à jour et numéro de révision

Il existe plusieurs identificateurs pour la même mise à jour dans différents contextes. Il est important de connaître les schémas d’identification.

  • ID de mise à jour : GUID (indiqué dans la capture d’écran précédente) affecté à une mise à jour donnée au moment de la publication
  • Numéro de révision : numéro incrémenté chaque fois qu’une mise à jour donnée (disposant d’un ID de mise à jour donné) est modifiée et republiée sur un service
  • Les numéros de révisions sont réutilisés d’une mise à jour à une autre (pas un identificateur unique).
  • L’ID de mise à jour et le numéro de révision sont souvent affichés ensemble sous la forme « {GUID}.revision ». Windows Update mettre à jour les identificateurs.

ID de révision

  • Un ID de révision (ne confondez pas cette valeur avec le « numéro de révision ») est un numéro de série émis lorsqu’une mise à jour est initialement publiée ou révisée sur un service donné.
  • Une mise à jour existante qui est révisée conserve le même ID de mise à jour (GUID), a son numéro de révision incrémenté (par exemple, de 100 à 101), mais obtient un nouvel ID de révision qui n’est pas lié à l’ID précédent.
  • Les ID de révisions sont uniques sur une source de mise à jour donnée, mais pas dans plusieurs sources.
  • La même version de mise à jour peut avoir différents ID de révision dans Windows Update et WSUS.
  • Le même ID de révision peut représenter des mises à jour différentes sur Windows Update et WSUS.

ID local

  • L’ID local est un numéro de série émis par un client Windows Update donné lorsqu’une mise à jour est reçue d’un service.
  • Généralement dans les journaux de débogage, en particulier entre le cache local pour les informations de mise à jour
  • Différents PC clients attribuent différents ID locaux à la même mise à jour
  • Vous pouvez trouver les ID locaux qu’un client utilise en obtenant le fichier %WINDIR%\SoftwareDistribution\Datastore\Datastore.edb du client

Terminologie incohérente

  • Les journaux utilisent parfois les termes de manière incohérente. Par exemple, la liste InstalledNonLeafUpdateIDs contient en réalité les ID de révisions, et non les ID de mises à jour.

  • Identifiez les ID par formulaire et contexte :

    • Les GUID sont les ID de mises à jour
    • Les petits entiers qui apparaissent à côté d’un ID de mise à jour sont des numéros de révisions
    • Les entiers longs sont généralement des ID de révisions
    • Les petits entiers (en particulier dans le magasin de données) peuvent être des ID locaux Windows Update terminologie inconsisten.

Analyse des fichiers journaux de l’installation de Windows à l’aide de l’outil SetupDiag

SetupDiag est un outil de diagnostic qui peut être utilisé pour analyser les journaux relatifs à l’installation des mises à jour de Windows. Pour plus d'informations, consultez SetupDiag.