Windows Update logs in Windows 10

In Windows 10 i logs di Windows Update non  sono più memorizzati nel notepad %windir%\WindowsUpdate.log. Il file esiste ancora ma riporta la dicitura che ora i logs di Windows Update sono generati utilizzato Event Tracing for Windows (ETW). per maggiori informazioni sull’ETW si veda ETW (Event Tracing For Windows) – what it is and useful tools.

Aprendo il link suggerito (http://go.microsoft.com/fwlink/?LinkId=518345) si viene redirezionati alla KB3036646 How to read Windows Update logs in Windows 10 che spiega il motivo della scelta ovvero un aumento delle performance e un minore consumo di spazio su disco per la gestione dei logs a fronte di un accesso meno immediato, ma va precisato che tali logs sono di solito letti solo in caso di diagnostica.

Per leggere i logs estraendoli dall’EWT è possibile utilizzate il cmdlet PowerShell Get-WindowsUpdateLog che esegue il merge dei file etl files in un singolo file di log, di eseguito un esempio di utilizzo:

Get-WindowsUpdateLog -LogPath C:\Logs\WindowsUpdate.log

Alla prima esecuzione del cmdlet vengono scaricati i degugging symbols dal Microsoft symbol server e poi l’elaborazione procede con i seguenti fasi:

1. Lettura delle informazioni dai file .etl
2. Conversione in un formato intermedio CSV o XML, per default viene utilizzato il formato CSV, ma è possibile specificare di utilizzare l’XML tramite il parametro ProcessingType
3. Conversione del file nel formato intermedio in testo accodamento al file di log specificato dal parametro LogPath (se il parametro LogPath non viene specificato per default viene creato un file WindowsUpdate.log nella Desktop folder dell’utente che ha eseguito Cmdlet)

Per aprire il file di log tramite PowerShell è possibile utilizzare il comando:

Invoke-Item -Path C:\Logs\WindowsUpdate.log

Per aprire PowerShell in Windows 10 è possibile eseguire il comando PowerShell dalla dialog Esegui (WIN+R) o da un prompt dei comandi o usando la combinazione di tasti.

Per eventuali problemi si tengano presenti le note riportate nella KB3036646:

– If you’re having problems decoding the Windows Update log (for example, if you have multiple “GUID” entries that are displayed in the final text log), you may have to delete and then update your symbol cache. You can do this by deleting everything under the %temp%\windowsupdatelog folder.

– The first time that you run the Get-WindowsUpdateLog cmdlet, you may see the Microsoft Internet Symbol Store dialog box. To use the Get-WindowsUpdateLog cmdlet, you must accept the presented license terms to enable access to the public symbols that are used by the cmdlet.

– If you previously downloaded a symbol cache, you can use the -SymbolServer switch to use those symbols instead of connecting to the Microsoft symbol server. In order to do this, you must be able to provide a UNC path for that symbol cache.

– If you’re using Windows 10 Insider Preview, you may not always be able to decode the Windows Update log. Public symbols are published only for certain prerelease builds. Therefore, if public symbols are not available, you may be unable to successfully decode the log.