Windows Update 記錄檔

下表描述 Windows Update 所建立的記錄檔。

記錄檔 位置 描述 使用時機
windowsupdate.log C:\Windows\Logs\WindowsUpdate 從 Windows 8.1 開始並繼續進行 Windows 10,Windows Update 用戶端會使用 Windows 事件追蹤 (ETW) 來產生診斷記錄。 如果您在執行 Windows Update 時收到錯誤訊息,您可以使用Windowsupdate.log記錄檔中包含的資訊來針對問題進行疑難解答。
UpdateSessionOrchestration.etl C:\ProgramData\USOShared\Logs 從 Windows 10 開始,更新 Orchestrator 服務 負責從 Windows Update 下載和安裝各種更新類型。 而事件會記錄到這些 .etl 檔案。
  • 當您看到有可用的更新,但下載並未觸發時。
  • 下載更新但未觸發安裝時。
  • 安裝更新但未觸發重新啟動時。
NotificationUxBroker.etl C:\ProgramData\USOShared\Logs 從 Windows 10 開始,通知快顯通知或橫幅會由 NotificationUxBroker.exe 觸發。 當您想要檢查是否觸發通知時。
CBS.log %systemroot%\Logs\CBS 此記錄可讓您深入瞭解維護堆疊中的更新安裝部分。 若要針對 Windows Update 安裝的相關問題進行疑難解答。

產生WindowsUpdate.log

若要將 Windows Update (.etl 檔案) 的追蹤檔案合併並轉換成單一可讀取的WindowsUpdate.log檔案,請參閱 Get-WindowsUpdateLog

注意

當您執行 Get-WindowsUpdateLog Cmdlet 時,WindowsUpdate.log檔案的複本會建立為靜態記錄檔。 除非您再次執行 Get-WindowsUpdateLog ,否則不會更新為舊WindowsUpdate.log。

Windows Update 記錄元件

Windows Update引擎有不同的元件名稱。 以下是出現在WindowsUpdate.log檔案中的一些最常見元件:

  • AGENT- Windows Update 代理程式
  • AU - 自動 匯報 正在執行這項工作
  • AUCLNT - AU 與登入使用者之間的互動
  • CDM- 裝置管理員
  • CMPRESS - 壓縮代理程式
  • COMAPI- Windows Update API
  • 驅動程式 - 裝置驅動器資訊
  • DTASTOR - 處理資料庫交易
  • EEHNDLER - 用來評估更新適用性的運算式處理程式
  • HANDLER - 管理更新安裝程式
  • MISC - 一般服務資訊
  • OFFLSNC - 偵測沒有網路連線的可用更新
  • PARSER - 剖析運算式資訊
  • PT - 將更新資訊同步處理至本機數據存放區
  • REPORT - 收集報告資訊
  • SERVICE - 自動 匯報 服務的啟動/關機
  • SETUP - 在 Windows Update 用戶端可用時安裝新版本
  • SHUTDWN - 在關機時安裝功能
  • WUREDIR - Windows Update 重新導向器檔案
  • WUWEB - Windows Update ActiveX 控制件
  • ProtocolTalker - 用戶端伺服器同步處理
  • DownloadManager - 建立和監視承載下載
  • 處理程式、安裝程式 - 安裝程式處理程式 (CBS 等)
  • EEHandler - 評估更新適用性規則
  • DataStore - 在本機快取更新數據
  • IdleTimer - 追蹤作用中呼叫、停止服務

注意

如果您要尋找該特定區域中的問題,許多元件記錄訊息都是無價的。 不過,如果您不篩選以排除不相關的元件,讓您可以專注於重要的元件,則它們可能沒有用處。

Windows Update 記錄結構

Windows 更新記錄結構分成四個主要身分識別:

  • 時間戳
  • 進程標識碼和線程標識碼
  • 元件名稱
  • 更新標識碼
    • 更新標識碼和修訂編號
    • 修訂標識碼
    • 本機標識碼
    • 不一致的術語

下列各節將討論WindowsUpdate.log結構。

時間戳

時間戳表示記錄發生的時間。

  • 訊息通常依時間順序排列,但可能會有例外狀況。
  • 同步期間暫停可能表示網路問題,即使掃描成功也一樣。
  • 掃描結尾附近的長時間暫停可能表示取代鏈結問題。
    Windows Update 時間戳。

進程標識碼和線程標識碼

進程標識碼和線程標識碼是隨機的,而且可能因記錄檔而異,甚至是從服務會話到相同記錄內的服務會話。

  • 前四個數位,以十六進位為單位,是進程標識符。
  • 接下來的四位數,以十六進位為單位,是線程標識符。
  • 每個元件,例如 USO、Windows Update 引擎、COM API 呼叫端和 Windows Update 安裝程式處理程式,都有自己的進程識別碼。
    Windows Update進程和線程標識碼。

元件名稱

搜尋並識別與標識符相關聯的元件。 Windows Update引擎的不同部分有不同的元件名稱。 其中一些如下所示:

  • ProtocolTalker - 用戶端伺服器同步處理
  • DownloadManager - 建立和監視承載下載
  • 處理程式、安裝程式 - (CBS 等的安裝程式處理程式 )
  • EEHandler - 評估更新適用性規則
  • DataStore - 在本機快取更新數據
  • IdleTimer - 追蹤作用中呼叫、停止服務

Windows Update元件名稱。

更新標識碼

下列專案是更新識別碼:

更新標識碼和修訂編號

在不同內容中,相同更新有不同的標識符。 請務必瞭解標識碼配置。

  • 更新標識碼:上一個螢幕快照中指出的 GUID (,) 在發行時指派給指定的更新
  • 修訂編號:每次在服務上修改並重新發佈具有指定更新標識符) 的指定更新 (時,就會遞增的數位
  • 修訂編號會從某個更新重複使用到另一個更新, (不是唯一標識符) 。
  • 更新標識碼和修訂編號通常會一起顯示為 “{GUID}.revision”。Windows Update 更新標識碼。

修訂標識碼

  • 修訂標識碼 (不會將此值與「修訂編號」混淆 ) 為在指定服務上最初發佈或修訂更新時所發出的序號。
  • 修訂的現有更新會保留相同的更新標識碼 (GUID) ,其修訂編號會 (例如,從 100 到 101) ,但會取得與先前標識符無關的新修訂標識符。
  • 修訂標識碼在指定的更新來源上是唯一的,但不是跨多個來源。
  • 相同的更新修訂在 Windows Update 和 WSUS 上可能會有不同的修訂標識碼。
  • 相同的修訂標識碼可能代表 Windows Update 和 WSUS 上的不同更新。

本機標識碼

  • 本機標識碼是從服務收到更新時,由指定 Windows Update 客戶端發出的序號。
  • 通常會出現在偵錯記錄中,特別是涉及本機快取以取得數據存放區 (更新資訊)
  • 不同的用戶端計算機會將不同的本機標識符指派給相同的更新
  • 您可以藉由取得用戶端的 %WINDIR%\SoftwareDistribution\Datastore\Datastore.edb 檔案,找到用戶端正在使用的本機標識符

不一致的術語

  • 有時候記錄會以不一致的方式使用字詞。 例如,InstalledNonLeafUpdateIDs 清單實際上包含修訂標識碼,而不是更新標識符。

  • 依表單和內容辨識識別碼:

    • GUID 是更新識別碼
    • 出現在更新標識元旁邊的小整數是修訂編號
    • 大型整數通常是修訂標識碼
    • 小整數 (特別是在數據存放區) 可以是本機標識符,Windows Update 不一致的術語。

使用 SetupDiag 工具進行 Windows 安裝程式記錄檔分析

SetupDiag 是診斷工具,可用來分析與安裝 Windows 匯報 相關的記錄。 如需詳細資訊,請 參閱 SetupDiag