변경된 Windows Update Log 확인 방법(Windows 10, Windows Server 2016)

[변경된 Windows Update Log 확인 방법]

C:\windows 하위에 WindowsUpdate.log 파일이 존재하는 것은 동일합니다. 다만 열었을 때 다음과 같은 내용만 적혀 있습니다.

 

Windows Update logs are now generated using ETW (Event Tracing for Windows).
Please run the Get-WindowsUpdateLog PowerShell command to convert ETW traces into a readable WindowsUpdate.log.
For more information, please visit https://go.microsoft.com/fwlink/?LinkId=518345

 

기존의 Text 형태로 로깅이 되던 내용이 성능을 향상시키고 디스크 사용량을 최소화하기 위해서 Event Tracing for Windows (ETW)를 사용하는 형태로 변경되었습니다.

따라서 C:\Windows\Logs\WindowsUpdate 하위에 ETL Log가 생성되어 있는 것을 확인할 수 있습니다.

참조 : https://support.microsoft.com/en-us/kb/3036646

 

해당 로그를 분석하기 위해서는 별도의 Decoding이 필요한데, 두가지 방법이 존재합니다.

 

  1. WindowsUpdate.log 에 적혀 있는대로 PowerShell을 활용하는 방법 "PS C:\WINDOWS\system32> Get-WindowsUpdateLog" 커맨드 한 줄만 입력하면 자동으로 기본설정을 참조하여 Decoding이 됩니다. (업데이트로그 파일 은 바탕화면에 생성됩니다. 2016도 동일합니다.)

  2. Tracefmt.exe 라는 Tool을 활용하는 방법이 있습니다. 2016에서도 마찬가지로 활용이 가능합니다. (해당 Tool은 Windows Driver Kit (WDK) 8.1버전에만 들어있습니다. 10버전에는 포함되어 있지 않습니다.)해당 Tool을 준비하고 Symbol을 설치합니다.
    WDK 8.1 Download 경로 : https://www.microsoft.com/en-us/download/details.aspx?id=42273
    Symbol Download 경로 : https://developer.microsoft.com/ko-kr/windows/hardware/download-symbols 

    --------------------------------------------------------------------------------------------------------------------- 

 UpdateLog etl 파일 및 tracefmt.exe를 원하는 경로에 저장합니다.

 

C:\WULog>dir

Volume in drive C is OSDisk

Volume Serial Number is 6EDA-F7DB

Directory of C:\WULog

2016-08-17  오후 04:32    <DIR>          .

2016-08-17  오후 04:32    <DIR>          ..

2016-08-17  오전 11:13                 0 CONERR$

2016-08-17  오후 04:31                 0 FmtFile.txt

2016-08-17  오후 04:31               549 FmtSum.txt

2013-08-22  오전 05:17           668,776 tracefmt.exe

2016-07-15  오후 07:23         1,198,080 traceview.exe

2016-08-17  오전 11:19                42 TraceView.ini

2016-08-07  오전 08:38            16,384 WindowsUpdate.20160807.082734.063.1.etl

2016-08-07  오전 11:31            16,384 WindowsUpdate.20160807.112112.806.1.etl

2016-08-07  오후 02:00            12,288 WindowsUpdate.20160807.135041.495.1.etl

2016-08-07  오후 02:12             8,192 WindowsUpdate.20160807.140235.702.1.etl

...

2016-08-17  오후 03:49           139,264 WindowsUpdate.20160817.120001.429.1.etl

2016-08-17  오후 03:49            24,576 WindowsUpdate.20160817.120001.429.2.etl

              91 File(s)      3,944,119 bytes

               2 Dir(s)  142,712,254,464 bytes free

 

다음의 명령어를 이용하여 Decoding을 진행합니다. (Symbol 경로를 포함해주어야 합니다.)

C:\WULog>tracefmt.exe -o windowsupdate.log WindowsUpdate.20160807.082734.063.1.etl WindowsUpdate.20160817.120001.429.2.etl -r c:\WUsymbol

Setting log file to: C:\WULog\WindowsUpdate.20160807.082734.063.1.etl

Setting log file to: C:\WULog\WindowsUpdate.20160817.120001.429.2.etl

Examining C:\WULog\default.tmf for message formats,  none found, file not found

Searching for TMF files on path: (null)

Logfile C:\WULog\WindowsUpdate.20160807.082734.063.1.etl:

***

Logfile C:\WULog\WindowsUpdate.20160817.120001.429.2.etl:

***

Processing completed   Buffers: 10, Events: 269, EventsLost: 0 :: Format Errors: 0, Unknowns: 226

Event traces dumped to C:\WULog\windowsupdate.log

Event Summary dumped to C:\WULog\windowsupdate.log.sum

 

참조 : https://blogs.technet.microsoft.com/charlesa_us/2015/08/06/windows-10-windowsupdate-log-and-how-to-view-it-with-powershell-or-tracefmt-exe

===================================================================

 

Decoding이 완료되면 분석이 가능한 형태로 로그가 재생성 됩니다.