So analysieren Sie Windows Update-Protokolle unter Windows 10 und 11

Okay, die meisten wissen wahrscheinlich, dass Microsoft bei Windows-Updates die Speicherung der Protokolle regelmäßig ändert. Bei Windows 10 und 11 WindowsUpdate.logist die übliche Methode nicht mehr praktikabel. Stattdessen werden jetzt ETL-Dateien verwendet, die Datenexports im Binärformat darstellen. Wenn man sich den Kopf zerbricht, was schiefgeht oder einfach nur sehen möchte, welche Updates installiert wurden, kann das mühsam sein, da diese ETL-Dateien nicht lesbar sind. Es gibt aber eine Möglichkeit, diese Protokolle in ein lesbares Format zu konvertieren – sie ist nicht perfekt, aber sie funktioniert.

Ein wichtiger Punkt ist, dass ab Windows 10 Version 1709 und Windows Server 2016 die Protokolle nicht mehr direkt in einer einfachen Textdatei gespeichert werden. Stattdessen generiert Windows ETW-Protokolle (Event Tracing for Windows), die als .ETLDateien unter %windir%\Logs\WindowsUpdate gespeichert werden. Wenn man also nicht genau weiß, wie man sie öffnet, erhält man beim Öffnen mit Notepad nur unverständliche Zeichen. Glücklicherweise hat Microsoft einen praktischen PowerShell-Befehl hinzugefügt – Get-WindowsUpdateLog –, der ETL-Dateien in ein lesbares Format konvertiert WindowsUpdate.log. Windows macht es einem natürlich unnötig schwer, aber dieser Befehl ist ziemlich zuverlässig.

So extrahieren und lesen Sie Windows Update-Protokolle in Windows 10/11

Methode 1: Verwendung von PowerShell zum Erstellen eines lesbaren Protokolls

Das ist mittlerweile der Standardweg. Führen Sie PowerShell als Administrator aus (drücken Sie Strg+Alt+F Windows + Xund wählen Sie dann „Windows PowerShell (Administrator)“ oder suchen Sie einfach danach).Geben Sie folgenden Befehl ein:

Get-WindowsUpdateLog -LogPath C:\Temp\WindowsUpdate.log

Dieser Befehl fügt die verschiedenen .ETLDateien zu einer einzigen, einigermaßen lesbaren Protokolldatei im angegebenen Pfad zusammen. Falls kein C:\TempOrdner existiert, erstellen Sie ihn einfach – kein Problem. Die Protokollgenerierung kann je nach Systemkonfiguration etwa eine Minute dauern, insbesondere bei vielen Updates oder langsamer Internetverbindung. Kann Ihr System den Symbolserver von Microsoft nicht erreichen (z. B.in eingeschränkten Netzwerken), kann die Konvertierung fehlschlagen oder unvollständig sein. In diesem Fall .ETLhilft es oft, die Dateien auf einen Rechner mit Internetzugang zu kopieren und den Befehl dort auszuführen.

Methode 2: Direktes Durchsuchen des Core-Verzeichnisses

Falls der PowerShell-Befehl aus irgendeinem Grund fehlschlägt, befinden sich Ihre ETL-Dateien unter %windir%\Logs\WindowsUpdate. Sie können über den Datei-Explorer oder die Befehlszeile dorthin navigieren und die neuesten Dateien auswählen .ETL. Führen Sie anschließend den oben genannten Konvertierungsbefehl aus und geben Sie dabei den Ordner mit diesen Dateien mithilfe des entsprechenden -ETLPathParameters an, wie folgt:

Get-WindowsUpdateLog -ETLPath "C:\Logs\WindowsUpdate" -LogPath "C:\Temp\WindowsUpdate.log"

So müssen Sie sich nicht mehr mit dem Öffnen von RAW-Dateien herumschlagen – das Skript erledigt die Arbeit. Rechnen Sie jedoch mit Wartezeiten, die von der Dateigröße und Systemgeschwindigkeit abhängen. Und ja, bei manchen Systemen funktioniert es beim ersten Mal nicht, dann aber nach einem Neustart oder einigen Anpassungen. Geben Sie also nicht gleich auf.

Tipp: Öffnen und Analysieren des generierten Protokolls

Sobald Sie Ihre ETL-Datei in einem lesbaren Format haben WindowsUpdate.log, öffnen Sie sie mit Notepad oder Ihrem bevorzugten Texteditor. Sie ist zwar lang und etwas unübersichtlich, aber wenn Sie Updates debuggen, suchen Sie nach Fehlern oder Warnungen, die etwa zum Zeitpunkt der Probleme aufgetreten sind. Sie können sogar gezielt Ctrl + Fnach bestimmten KB-Nummern oder Fehlercodes wie „Fehlgeschlagen “, „Exit-Code“ oder „Schwerwiegend“ suchen. Das ist zwar nicht perfekt, aber besser, als unformatierte ETL-Dateien zu entschlüsseln.

Übrigens, ein kleiner interessanter Fakt: Das Protokoll sammelt unzählige Informationen aus verschiedensten Quellen wie Agent, automatischen Updates (AU), Handler-Protokollen und mehr. Wenn Sie sich speziell auf Windows-Updates konzentrieren möchten, suchen Sie nach Begriffen wie „Windows-Update“ \sagent\soder bestimmten KB-Nummern Select-String. Zum Beispiel so:

Select-String -Pattern '\\sagent\\s' -Path C:\Temp\WindowsUpdate.log | Select-Object -Last 30

Dies kann helfen, Muster oder wiederkehrende Fehler schnell zu erkennen.

So überprüfen Sie Ihren Updateverlauf in Windows

Ganz einfach. Gehen Sie zu Einstellungen > Update und Sicherheit > Windows Update > Updateverlauf anzeigen. Alternativ können Sie im Ausführen-Dialogfeld ms-settings:windowsupdate-history eingeben. Dort wird angezeigt, welche Updates wann installiert wurden.

Wenn Sie eine skriptbasierte Lösung bevorzugen, können Sie PowerShell verwenden. Führen Sie folgenden Befehl aus:

Get-CimInstance win32_quickfixengineering | sort-object installedon -desc

Hier erhalten Sie eine Übersicht der letzten Updates mit Installationsdatum. Für eine detailliertere Steuerung bietet das GitHub-Projekt Winhance verschiedene Skripte zum Abrufen des Updateverlaufs – ideal für alle, die Automatisierung bevorzugen.

Kurz gesagt: Diese Tools und Befehle mögen auf den ersten Blick etwas übertrieben wirken, sind aber sehr nützlich, sobald man sich daran gewöhnt hat. Die Behebung von Update-Problemen ist nicht immer einfach, doch das Verständnis, wie man Protokolle analysiert, hilft enorm, ein klareres Bild der Vorgänge im Hintergrund zu erhalten.