Cum se vizualizează jurnalele de instalare Windows și cum se înțeleg înregistrările de instalare

Când o instalare Windows, sau orice program, merge prost, primul nostru gând este de obicei că „Windows a luat-o razna”. Cu toate acestea, sub toate acestea se află o cantitate vastă de... informații înregistrate în jurnalele Windows Installer și în alte fișiere jurnal care vă poate spune exact ce se întâmplă, unde s-a defectat procesul și, adesea, cum să îl remediați.

În loc să instalezi orbește și să-ți ții degetele încrucișate, e mult mai practic să înveți. Cum se vizualizează jurnalele de sistem și jurnalele de instalare Windows InstallerAceste jurnale servesc ca o înregistrare tehnică a tot ceea ce se întâmplă în timpul instalării Windows, a driverelor, a aplicațiilor sau chiar în timpul unei actualizări majore a versiunii. Stăpânirea locului în care se află acestea, a conținutului lor și a modului de deschidere a acestora este esențială pentru oricine dorește să ia în serios întreținerea PC-ului.

Ce sunt jurnalele de instalare Windows și de ce ar trebui să vă pese?

Fișierele jurnal de instalare Windows sunt, în esență, fișiere text sau binare unde este salvat fiecare pas executat de instalatorAcest jurnal înregistrează acțiunile efectuate, componentele copiate, driverele încărcate, erorile sau avertismentele generate și multe altele. Windows utilizează diverse mecanisme de înregistrare în jurnal: Windows Installer, Windows Setup, SetupAPI, ETW (Event Tracing for Windows) etc.

Aceste înregistrări devin deosebit de importante atunci când o instalare Nu afișează mesaje de eroare clare sau pur și simplu „dispare” fără alte explicații.De exemplu, imaginați-vă că introduceți un CD UPS, acceptați solicitarea Control cont utilizator și fereastra se închide fără a instala nimic. În aceste cazuri, jurnalul poate dezvălui dacă programul de instalare nu a reușit să încarce un driver, dacă accesul la sistem a fost blocat sau dacă lipsește o componentă prealabilă.

Pe lângă instalarea aplicațiilor, sistemul de operare în sine generează jurnale detaliate în timpul instalării Windows, actualizărilor majore și fazelor de pornireMicrosoft structurează aceste jurnale pe faze (nivel inferior, WinPE, configurare online, bun venit și posibile reveniri la versiunea inițială) și în fiecare dintre ele salvează fișiere specifice în căi specifice, ceea ce este vital pentru diagnosticarea avansată.

Pe lângă instalare, Windows întreține și jurnalele de sistem, aplicații și securitate Aceste jurnale sunt accesate în principal prin intermediul Vizualizatorului de evenimente. Acestea înregistrează defecțiuni hardware, probleme legate de drivere, blocări de programe, încercări de conectare și multe altele, ceea ce le face esențiale pentru depanarea blocărilor, investigarea incidentelor de securitate și analizarea întreruperilor recurente.

Unde stochează Windows jurnalele de instalare a sistemului?

Când vorbim despre „jurnalele de instalare Windows”, mulți oameni se gândesc doar la instalările de programe MSI, ci și la sistemul de operare în sine. Generează o colecție mare de jurnale pe parcursul procesului de instalare și actualizare.Aceste jurnale nu sunt toate stocate într-un singur loc, ci își schimbă locația în funcție de faza de configurare.

În general, există un folder principal prezent în aproape toate versiunile moderne: %WINDIR%\PantherÎn această cale (de obicei C:\Windows\Panther) sunt stocate multe dintre fișierele cheie de instalare, cum ar fi setupact.log, setuperr.log sau jurnalul de evenimente de performanță Setup.etl. Înainte ca programul de instalare să aibă acces complet la discul de sistem, în mediile de preinstalare se utilizează și căi temporare, cum ar fi X:\Windows\Panther.

Alături de Panther, intră în joc și alte locații relevante, cum ar fi %WINDIR%\Inf (unde sunt stocate jurnalele SetupAPI pentru drivere și aplicații) sau fișierele de imagine a memoriei Memory.dmp și Minidump.dmpcare poate apărea atunci când o instalare provoacă o eroare gravă de tip ecran albastru.

Un alt set important de căi apare odată cu actualizările de sistem și migrările, unde sunt create foldere speciale, cum ar fi C:$WINDOWS.~BT\Sources\Panther Aceasta include jurnalele atât de pe discurile fizice (C:), cât și de pe unitățile temporare (X:) la pornirea de pe mediul de instalare. Jurnalele tipice de migrare și verificările hardware se găsesc aici.

De asemenea, merită să țineți cont de fișierele jurnal specifice instrumentelor de evaluare și performanță, cum ar fi C:\Windows\Performance\Winsat\winsat.log, care reflectă rezultatul testelor Instrumentului de evaluare a sistemului Windows (WinSAT) efectuate în faza finală de configurare.

Fazele de configurare Windows și fișierele sale de registry

Instalarea și actualizările Windows nu sunt un proces unic, monolitic, ci sunt împărțite în mai multe faze distincte, fiecare cu propriile fișiere jurnalLocalizarea fișierului corect depinde de momentul în care a avut loc eroarea sau comportamentul ciudat.

Faza de nivel inferior (instalator rulat de pe sistemul anterior)

Faza de nivel descendent este etapa inițială în care Programul de instalare Windows rulează din sistemul de operare deja instalat. (De exemplu, când faceți upgrade la Windows 10 de la Windows 7). În această fază, sistemul continuă să utilizeze multe dintre resursele sistemului anterior și pregătește mediul pentru upgrade-ul versiunii.

În această etapă va trebui să analizați fișiere precum C:\WINDOWS\setupapi.log în sistemele mai vechi (XP și versiunile anterioare), unde sunt înregistrate modificările aduse dispozitivelor, driverelor și modificările importante ale sistemului, cum ar fi Service Pack-urile sau reviziile critice.

În plus, în rădăcina unității de sistem sunt create foldere speciale, cum ar fi C:$WINDOWS.~BT\Sources\PantherMai multe jurnale fundamentale sunt generate în cadrul acestei rute:

• setupact.log: prezintă acțiunile generale ale instalatorului în timpul acestei faze.
• setuperr.log: înregistrează erorile care apar în timpul instalării.
• miglog.xml: conține date despre structura directoarelor utilizatorului și identificatorii de securitate (SID) asociați.
• PreGatherPnPList.log: stochează prima captură a inventarului dispozitivelor detectate în sistem.

Aceste fișiere sunt utile în special pentru a afla, de exemplu, dacă Un driver conflictual sau un dispozitiv neobișnuit cauzează blocarea actualizării.sau dacă există o problemă cu migrarea profilului de utilizator.

Faza Mediului de preinstalare Windows (WinPE)

În faza WinPE, căile de jurnal pot indica o unitate temporară X: sau chiar C:, în funcție de modul în care a fost pornită instalarea și este posibil accesează CMD în timpul instalăriiVei vedea din nou folderele. X:$WINDOWS.~BT\Sources\Panther o C:$WINDOWS.~BT\Sources\Panther, unde sunt stocate fișiere similare cu cele din faza anterioară:

• setupact.log: detalii ale acțiunilor de instalare.
• setuperr.log: listă de erori produse.
• miglog.xml: informații despre structura directoarelor utilizatorilor și SID-uri.
• PreGatherPnPList.log: compilare inițială a dispozitivelor Plug and Play.

Principala diferență este că acum Windows a încărcat deja un mediu de instalare care este mai independent de sistemul anterior.Prin urmare, orice erori care apar aici pot fi legate de accesul la disc, partiții, compatibilitate hardware de bază sau fișiere deteriorate pe mediul de instalare.

Faza de configurare online (prima pornire după instalare)

După finalizarea părții principale a copierii fișierelor și a configurării inițiale, Windows pornește pentru prima dată în noul mediu și intră în așa-numitul faza de configurare onlineAtunci vezi mesaje precum „Vă rugăm să așteptați un moment în timp ce Windows se pregătește să pornească pentru prima dată” sau „Se lucrează la actualizări NN%”.

În această etapă, sistemul instalează compatibilitate hardware de bază Și, dacă este vorba de o actualizare, migrează date, programe și setări. Cele mai importante jurnale din această fază se află în:

• C:\WINDOWS\PANTHER\setupact.logjurnal de acțiuni de instalare.
• C:\WINDOWS\PANTHER\setuperr.log: listă de erori sau avertismente critice.
• C:\WINDOWS\PANTHER\miglog.xml: detalii despre structura directoarelor și migrarea profilurilor de utilizator.
• C:\WINDOWS\INF\setupapi.dev.logInformații detaliate despre dispozitivele Plug and Play și procesul de instalare a driverelor.
• C:\WINDOWS\INF\setupapi.app.log: date privind instalarea componentelor și aplicațiilor.
• C:\WINDOWS\Panther\PreGatherPnPList.log y PostGatherPnPList.log: inventarul dispozitivelor înainte și după această fază.

Dacă computerul se blochează la „Pregătirea Windows” sau la un procent de actualizare pentru o perioadă lungă de timp, Aceste jurnale vă permit să vedeți ce parte a procesului s-a blocat.fie că este vorba de un driver video necorespunzător, un dispozitiv USB problematic sau o eroare la migrarea unei anumite aplicații.

Faza de bun venit în Windows (OOBE)

Când instalarea este aproape completă, se intră în faza cunoscută sub numele de Bun venit la Windows sau OOBE (Out-Of-Box Experience - Experiență inițială). Aici se solicită date precum numele computerului, se creează conturi de utilizator și se efectuează teste de performanță a sistemului pentru a calcula indicele de experiență Windows (în versiunile în care există această funcție).

Jurnalele din această fază sunt din nou concentrate în Panther și INF, cu rute precum:

• C:\WINDOWS\PANTHER\setupact.log y setuperr.logEi continuă să surprindă acțiunile și erorile.
• C:\WINDOWS\PANTHER\miglog.xml: continuă să reflecte datele privind migrarea utilizatorilor.
• C:\WINDOWS\INF\setupapi.dev.log y setupapi.app.log: drivere și aplicații.
• C:\WINDOWS\Panther\PreGatherPnPList.log y PostGatherPnPList.log: verificarea finală a dispozitivelor conectate.
• C:\WINDOWS\Performance\Winsat\winsat.log: rezultatele testelor Instrumentului de evaluare a sistemului.

Dacă după crearea utilizatorului și ajungerea la desktop observați că sistemul Este mult mai lent decât era de așteptat sau anumite componente nu se comportă corect.Revizuirea fișierului winsat.log și a jurnalelor driverelor vă poate oferi indicii despre ce componentă hardware are deficiențe sau ce driver ar fi putut eșua în timpul testului.

Faza de revenire (când actualizarea eșuează și reveniți la versiunea inițială)

Nu toate instalările de Windows reușesc. Când o actualizare majoră eșuează, sistemul încearcă de obicei anulează modificările și revine la desktopul anteriorÎn aceste cazuri, sunt generate și jurnale valoroase pentru a înțelege ce a mers prost.

În scenariile de revenire la versiunea inițială, veți găsi din nou folderul. C:$WINDOWS.~BT\Sources\Pantherdar cu câteva fișiere suplimentare specifice acestei faze:

• setupact.log: acțiuni efectuate în timpul tentativei de instalare și a inversării.
• miglog.xml: detalii despre migrarea directorului utilizatorului.
• setupapi\setupapi.dev.log: drivere și dispozitive în timpul instalării/revenirii la o versiune anterioară.
• setupapi\setupapi.app.log: aplicații afectate.
• PreGatherPnPList.log y PostGatherPnPList.log: inventar înainte și după încercarea de actualizare.

Când o actualizare eșuează și vă aflați din nou pe sistemul anterior cu un mesaj generic, Aceste jurnale reprezintă punctul de plecare pentru a descoperi dacă problema a fost un driver incompatibil, o eroare de migrare a datelor sau o eroare în mediul de instalare.Acestea sunt și fișierele pe care asistența tehnică Microsoft le solicită de obicei atunci când se deschide un caz de acest tip.

Jurnalele de evenimente de instalare Windows și Vizualizatorul de evenimente

Pe lângă fișierele text clasice, Windows înregistrează și o mare parte din informațiile de instalare într-un fișier binar de urmărire numit Setup.etl, care se găsește de obicei în folderul %WINDIR%\PantherAcest fișier face parte din sistemul Event Trace for Windows (ETW) și colectează evenimente de performanță și detalii despre procesul de instalare.

Pentru a vizualiza conținutul fișierului Setup.etl, simpla deschidere a acestuia cu Notepad nu este suficientă: trebuie să utilizați... Vizualizator de evenimente sau instrumente din linia de comandăPrimul lucru de făcut este să vă asigurați că utilizați furnizorii ETW corecți, care sunt incluși în suportul media de instalare pentru aceeași versiune de Windows pe care o analizați.

Dacă investigați jurnalele de pe o mașină pe care nu este instalat setul de instrumente corespunzător, puteți rula un script din rădăcina suportului de instalare Windows pentru a înregistra furnizorul ETW necesar. Comanda tipică din consolă ar fi ceva de genul:

Cscript D:\sources\etwproviders\etwproviderinstall.vbs install D:\sources\etwproviders

În acest exemplu, scrisoarea D Aceasta se referă la unitatea unde este montat DVD-ul sau USB-ul de instalare. După ce furnizorul este instalat, Vizualizatorul de evenimente va putea interpreta corect. datele din Setup.etl și afișarea lor într-un format lizibil.

Cum se vizualizează evenimentele de instalare în Vizualizatorul de evenimente

Vizualizatorul de evenimente este instrumentul standard din Windows pentru revizuire jurnalele de sistem, aplicațiile, securitatea și evenimentele de instalarePentru a examina jurnalul de instalare salvat în Setup.etl, puteți urma această procedură generală:

1. Deschideți Vizualizatorul de evenimente din meniul Start sau rulând eventvwr.msc.
2. În panoul din stânga, extindeți secțiunea Jurnalele Windows și selectați Sistem (sau registrul corespunzător, după caz).
3. În panoul din dreapta, faceți clic pe Deschideți înregistrarea salvată și căutați fișierul Setup.etl, care în mod implicit se află în %WINDIR%\Panther.
4. Odată încărcat, conținutul fișierului Setup.etl va fi afișat ca o listă de evenimente care pot fi filtrate, sortate și căutate.

Această perspectivă vă permite să vă concentrați asupra elementele relevante pentru instalarea sau actualizarea pe care o investigați, filtrarea după nivel (eroare, avertizare, informație) sau după identificatorul evenimentului și vizualizarea detaliilor tehnice ale fiecărei intrări.

Exportul jurnalelor de instalare în format text sau XML

Este util în multe ocazii Exportați jurnalele de instalare în format text sau XML pentru a le analiza cu alte instrumente, a le partaja cu asistența tehnică sau pur și simplu a le arhiva. Pentru aceasta, puteți utiliza utilitare în linie de comandă încorporate, cum ar fi Wevtutil o Tracerpt.

De exemplu, pentru a vizualiza conținutul fișierului Setup.etl din consolă folosind Wevtutil, puteți executa:

Wevtutil qe /lf C:\windows\panther\setup.etl

Și dacă preferați să procesați urmărirea cu Tracerpt pentru a genera rapoarte, puteți utiliza:

Tracerpt /l C:\windows\panther\setup.etl

Aceste instrumente au multe opțiuni suplimentare care pot fi consultate folosind ajutorul încorporat din linia de comandă. În orice caz, Acestea facilitează conversia unui fișier ETL complex în ceva mai ușor de gestionat. pentru analiză sau transmitere către terți.

Locațiile cheie în jurnal în timpul instalării Windows

Pe lângă rutele de instalare Panther și cele temporare, există mai multe locații standard unde Windows salvează înregistrări relevante pentru procesul de instalare și funcționarea ulterioară a sistemului.Unele dintre cele mai importante sunt următoarele.

Mai întâi, folderul %WINDIR%\Inf Conține mai multe fișiere jurnal critice pentru înțelegerea modului în care sunt instalate și gestionate driverele și aplicațiile. Mai exact:

• setupapi.dev.log: înregistrează instalarea, actualizarea și dezinstalarea dispozitivelor Plug and Play.
• setupapi.app.log: se concentrează pe instalarea de aplicații și componente software.

Pe de altă parte, în timpul procesului de instalare, pot fi generate fișiere depozitare de memorie când sistemul întâmpină erori grave de verificare. Două exemple tipice sunt:

• %WINDIR%\Memory.dmp: imagine de memorie completă după o verificare a erorilor (ecran albastru).
• %WINDIR%\Minidump.dmpmini-dumps-uri cu informații mai rezumate despre defecțiune.

În scenariile de pregătire sau automatizare a imaginilor, jurnalele specifice sunt, de asemenea, stocate în %WINDIR%\System32\Sysprep\Panther, unde este colectat tot ce ține de utilizarea Sysprep pentru generalizarea imaginilor Windows înainte de implementarea lor pe mai multe computere.

În cele din urmă, unele aplicații terțe își creează propriile Jurnalele de instalare în căi precum C:\ProgramData\AppName\LogsUn exemplu ar fi un fișier de genul C:\ProgramData\inFlow Inventory\Logs\installer.logcare poate afișa mesaje de eroare foarte specifice, de exemplu erori de execuție, atunci când programul de instalare solicită terminarea anormală a execuției.

Tipuri de fișiere de registry Windows dincolo de instalare

Jurnalele de instalare sunt doar o parte a întregului ecosistem de jurnal pe care Windows îl întreține. În utilizarea zilnică, este important să fiți conștienți și de... Ce alte tipuri de bușteni există și la ce se folosesc?deoarece foarte des o eroare de instalare este legată de o problemă de sistem, securitate sau aplicație.

Principalele tipuri de înregistrări gestionate de sistemul de operare includ:

• Jurnalele de sistemAceste jurnale conțin informații despre erori hardware, probleme cu driverele, evenimente de pornire și oprire etc. Acestea sunt consultate în principal în jurnalul de evenimente al sistemului.
• Jurnalele de aplicațiiAcestea colectează evenimente generate de programele instalate, cum ar fi blocări, avertismente sau informații de diagnosticare.
• Jurnalele de securitateSe concentrează pe evenimentele de conectare, gestionarea contului, accesul la resurse sensibile și tot ce ține de auditarea securității.
• Înregistrări de instalarePe lângă cele menționate deja pentru sistemul în sine, multe aplicații generează propriile fișiere jurnal în timpul instalării și dezinstalării.
• Evenimente redirecționateSunt folosite pentru colectarea evenimentelor de la echipamente la distanță și centralizarea lor într-un singur vizualizator, foarte util în mediile de business.

Întregul set de înregistrări poate fi explorat cu ușurință din Vizualizator evenimentcare organizează informațiile în categorii precum „Jurnale Windows” și „Jurnale de aplicații și servicii”. În cadrul acestora din urmă, veți vedea Furnizori de urmărire a evenimentelor pentru Windows (ETW) care permit activarea sau dezactivarea înregistrării componentelor individuale pentru o diagnosticare mai detaliată.

Unde se găsesc fișierele jurnal fizice pe disc

Pe lângă Vizualizatorul de evenimente, este util să știți unde fișierele jurnal sunt stocate fizic pe discîn cazul în care trebuie să le copiați, arhivați sau analizați cu alte instrumente externe.

Cele mai comune locații în versiunile moderne de Windows includ:

• C:\Windows\System32\winevt\LogsAici sunt stocate fișierele .evtx, care corespund diferitelor jurnale pe care le vedeți în Vizualizatorul de evenimente (Aplicație, Sistem, Securitate etc.).
• C:\Windows\Logs: folder în care pot apărea jurnalele legate de Windows Update, configurația sistemului și alte sarcini interne.
• C: Fișiere program și subfoldere: multe aplicații stochează propriile jurnale în directorul de instalare, într-un folder „logs” sau similar.
• C:\Utilizatori\\AppData (Local și Roaming): numeroase aplicații își creează propriile fișiere jurnal aici pentru a înregistra erorile, stările și operațiunile.

Cunoașterea acestor rute vă ajută să localizați Jurnale suplimentare care explică de ce un program de instalare se oprește fără niciun mesajdeoarece eroarea ar fi putut fi înregistrată în jurnalul propriu al aplicației, în jurnalele de sistem sau într-un fișier de urmărire paralel.

Utilizarea Vizualizatorului de evenimente pentru a analiza problemele de instalare

Vizualizatorul de evenimente nu este folosit doar pentru a deschide Setup.etl, ci este și instrument central pentru revizuirea tuturor jurnalelor de evenimente WindowsDe aici puteți vizualiza evenimente legate de aplicație, securitate, sistem, instalare, configurare etc. și le puteți filtra pentru a accesa direct ceea ce vă interesează.

Pentru a-l deschide, pur și simplu apăsați Windows + R, a scrie eventvwr.msc și apăsați Enter. În interior, în secțiunea Jurnalele WindowsVeți găsi secțiunile Aplicație, Securitate, Instalare (sau Configurare, în funcție de versiune) și Sistem, precum și jurnalul Evenimente redirecționate. Fiecare dintre aceste secțiuni afișează o listă cronologică a evenimentelor cu nivelul lor de severitate.

În ramura de Jurnalele de aplicații și servicii Veți vedea furnizori ETW specifici pentru diferite componente și aplicații Windows. Aici puteți activa sau dezactiva înregistrarea detaliată în jurnal în scopuri de diagnosticare. probleme foarte specifice ale unei componente, ideal atunci când un jurnal general nu oferă un nivel suficient de detaliu.

Când investigați erorile de instalare, este adesea util să combinați ceea ce vedeți în fișierele setupapi ale Panther și în alte jurnale text cu informații din Vizualizatorul de evenimente, deoarece Multe erori importante sunt înregistrate pe ambele site-urioferind context suplimentar, cum ar fi identificatori de evenimente, coduri de eroare de sistem și linkuri către documentația oficială.

Accesarea jurnalelor folosind PowerShell și promptul de comandă

Dacă doriți să automatizați sau trebuie să colectați informații din scripturi, puteți accesa jurnalele Windows. fără a deschide Vizualizatorul de evenimentefolosind PowerShell sau linia de comandă.

În PowerShell, de exemplu, puteți interoga rapid jurnalul de sistem cu cmdlet-uri care extrag evenimente filtrate după dată, tip sau identificator, ceea ce este foarte convenabil pentru Automatizați diagnosticarea după o eroare de instalareDeși conținutul furnizat se concentrează mai mult pe idee decât pe comenzile exacte, cmdlet-urile tipice vă permit să faceți aceste interogări într-un mod flexibil.

Din linia de comandă, așa cum am menționat deja, instrumentul wevtutil iti permite vizualizarea, exportarea și gestionarea jurnalelor de evenimente, inclusiv cele legate de instalare. Combinat cu scripturi batch sau sarcini programate, este foarte util pentru mediile în care mai multe mașini trebuie monitorizate simultan.

Luate împreună, aceste opțiuni din linia de comandă se potrivesc foarte bine cu restul instrumentelor de înregistrare în jurnal, deoarece Acestea permit integrarea instalării și citirea evenimentelor de sistem în fluxuri de lucru automatizateAcest lucru este interesant în special în mediile corporative sau pentru tehnicienii care susțin mai multe echipe.

Având în vedere toate cele de mai sus, este clar că jurnalele Windows Installer, fișierele Panther, jurnalele SetupAPI și evenimentele Event Viewer constituie o rețea de informații foarte cuprinzătoare. Utilizarea eficientă a acestora înseamnă trecerea de la „Nu am nicio idee de ce nu se instalează” la a putea identifica exact ce driver, componentă sau eroare de sistem a cauzat problema și, prin urmare, a avea mult mai multe opțiuni pentru a o remedia rapid și precis.

Articol asociat:

Analizarea fișierelor jurnal de pornire, cum ar fi Ntbtlog.txt, pentru a depana erorile de pornire Windows

Isaac

Scriitor pasionat despre lumea octeților și a tehnologiei în general. Îmi place să îmi împărtășesc cunoștințele prin scriere și asta voi face în acest blog, să vă arăt toate cele mai interesante lucruri despre gadgeturi, software, hardware, tendințe tehnologice și multe altele. Scopul meu este să vă ajut să navigați în lumea digitală într-un mod simplu și distractiv.