Så här visar du Windows Installer-loggar och förstår installationsposter

När en Windows-installation, eller vilket program som helst för den delen, går fel, är vår första tanke vanligtvis att "Windows har kört fast." Men under allt detta döljer sig en stor mängd... information som registrerats i Windows Installer-loggarna och andra loggfiler vilket kan berätta exakt vad som händer, var processen har gått sönder och ofta hur man åtgärdar det.

Istället för att installera blint och hålla tummarna är det mycket mer praktiskt att lära sig. Så här visar du Windows Installer och systemloggarDessa loggar fungerar som en teknisk registrering av allt som händer under installationen av Windows, drivrutiner, program eller till och med under en större versionsuppgradering. Att behärska var de finns, vad de innehåller och hur man öppnar dem är nyckeln till alla som vill ta datorunderhåll på allvar.

Vad är Windows installationsloggar och varför borde du bry dig?

Windows installationsloggfiler är i huvudsak text- eller binära filer där varje steg som utförs av installationsprogrammet sparasDen här loggen registrerar vilka åtgärder som utförs, vilka komponenter som kopieras, vilka drivrutiner som laddas, vilka fel eller varningar som genereras och mycket mer. Windows använder olika loggningsmekanismer: Windows Installer, Windows Setup, SetupAPI, ETW (Event Tracing for Windows) etc.

Dessa register blir särskilt viktiga vid en installation Den visar inga tydliga felmeddelanden eller så "försvinner" den helt enkelt utan ytterligare förklaring.Tänk dig till exempel att du sätter i en UPS-CD, accepterar kommandot för kontroll av användarkonto och fönstret stängs utan att installera något. I dessa fall kan loggen avslöja om installationsprogrammet misslyckades med att ladda en drivrutin, om systemåtkomst blockerades eller om en nödvändig komponent saknas.

Förutom programinstallationsfiler genererar operativsystemet självt detaljerade loggar under Windows-installation, större uppdateringar och startfaserMicrosoft strukturerar dessa loggar efter faser (down-level, WinPE, onlinekonfiguration, välkomst och eventuella återställningar) och i varje fas sparar de specifika filer i specifika sökvägar, vilket är avgörande för avancerad diagnostik.

Utöver installationen underhåller Windows även system-, program- och säkerhetsloggar Dessa loggar nås huvudsakligen via Loggboken. De registrerar hårdvarufel, drivrutinsproblem, programkrascher, inloggningsförsök och mycket mer, vilket gör dem viktiga för att felsöka krascher, undersöka säkerhetsincidenter och analysera återkommande avbrott.

Var lagrar Windows systeminstallationsloggar?

När vi pratar om "Windows Installer-loggar" tänker många bara på MSI-programinstallationer, utan själva operativsystemet. Den genererar en stor samling loggar under hela installations- och uppgraderingsprocessen.Dessa loggar lagras inte alla på ett ställe, utan ändrar plats beroende på konfigurationsfasen.

Generellt sett finns det en huvudmapp i nästan alla moderna versioner: %WINDIR%\PantherInom den här sökvägen (vanligtvis C:\Windows\Panther) lagras många av de viktigaste installationsfilerna, till exempel setupact.log, setuperr.log eller prestandaloggen Setup.etl. Innan installationsprogrammet har fullständig åtkomst till systemdisken används även tillfälliga sökvägar som X:\Windows\Panther i förinstallationsmiljöer.

Tillsammans med Panther spelar andra relevanta platser in, såsom %WINDIR%\Inf (där SetupAPI-loggarna för drivrutiner och program lagras) eller minnesdumpfilerna Memory.dmp och Minidump.dmpvilket kan uppstå när en installation orsakar ett allvarligt fel av typen blåskärm.

En annan viktig uppsättning sökvägar dyker upp vid systemuppdateringar och migreringar, där speciella mappar skapas, t.ex. C:$WINDOWS.~BT\Källor\Panther Detta inkluderar loggar från både fysiska diskar (C:) och temporära enheter (X:) vid uppstart från installationsmediet. Typiska migreringsloggar och hårdvarukontroller finns här.

Det är också värt att tänka på de specifika loggfilerna för utvärderings- och prestandaverktyg, till exempel C:\Windows\Prestanda\Winsat\winsat.log, vilket återspeglar resultatet av Windows System Assessment Tool (WinSAT)-testerna som utfördes i den slutliga konfigurationsfasen.

Windows-konfigurationsfaser och dess registerfiler

Windows-installation och uppdateringar är inte en enda, monolitisk process, utan är uppdelade i flera distinkta faser, var och en med sina egna loggfilerHuruvida rätt fil hittas beror på när felet eller det konstiga beteendet inträffade.

Nedgraderingsfas (installationsprogrammet körs från det föregående systemet)

Den fallande nivåfasen är det inledande skedet där Windows-installationsprogrammet körs från det redan installerade operativsystemet. (Till exempel när du uppgraderar till Windows 10 från Windows 7). Under den här fasen fortsätter systemet att använda många av resurserna från det tidigare systemet och förbereder miljön för versionsuppgraderingen.

I det här skedet behöver du titta på filer som C:\WINDOWS\setupapi.log i äldre system (XP och tidigare), där ändringar av enheter, drivrutiner och viktiga systemmodifieringar, såsom Service Packs eller kritiska revisioner, registreras.

Dessutom skapas speciella mappar i roten av systemenheten, t.ex. C:$WINDOWS.~BT\Källor\PantherInom denna rutt genereras flera grundläggande loggar:

• setupact.log: beskriver installatörens allmänna åtgärder under denna fas.
• setuperr.log: registrerar fel som uppstår under installationen.
• miglog.xmlinnehåller data om användarkatalogstrukturen och tillhörande säkerhetsidentifierare (SID).
• PreGatherPnPList.loglagrar den första registreringen av enheter som upptäckts i systemet.

Dessa filer är särskilt användbara för att ta reda på, till exempel, om En drivrutin i konflikt eller en ovanlig enhet gör att uppdateringen blockeras.eller om det är ett problem med migreringen av användarprofilen.

Windows Preinstallation Environment (WinPE)-fasen

I WinPE-fasen kan loggsökvägar peka till en tillfällig enhet X: eller till själva C:, beroende på hur installationen startades, och det är möjligt åtkomst till CMD under installationenDu kommer att se mapparna igen. X:$WINDOWS.~BT\Källor\Panther o C:$WINDOWS.~BT\Källor\Panther, där filer som liknar de från föregående fas lagras:

• setupact.logdetaljer om installationsåtgärder.
• setuperr.loglista över producerade fel.
• miglog.xmlinformation om användarkatalogstrukturen och SID:er.
• PreGatherPnPList.log: initial sammanställning av Plug and Play-enheter.

Den största skillnaden är att nu Windows har redan laddat en installationsmiljö som är mer oberoende av det tidigare systemet.Därför kan eventuella fel som visas här vara relaterade till diskåtkomst, partitioner, grundläggande hårdvarukompatibilitet eller skadade filer på installationsmediet.

Onlinekonfigurationsfas (första uppstart efter installation)

Efter att huvuddelen av filkopiering och initial installation är slutförd startar Windows för första gången i den nya miljön och går in i den s.k. onlinekonfigurationsfasDet är då du ser meddelanden som "Vänta ett ögonblick medan Windows förbereder sig för att starta för första gången" eller "Arbetar med uppdateringar NN%".

Under detta skede installerar systemet grundläggande hårdvarukompatibilitet Och om det är en uppgradering migrerar den data, program och inställningar. De viktigaste loggarna från den här fasen finns i:

• C:\WINDOWS\PANTHER\setupact.log: installationsåtgärdslogg.
• C:\WINDOWS\PANTHER\setuperr.loglista över kritiska fel eller varningar.
• C:\WINDOWS\PANTHER\miglog.xmldetaljer om katalogstrukturen och migreringen av användarprofiler.
• C:\WINDOWS\INF\setupapi.dev.logDetaljerad information om Plug and Play-enheter och installationsprocessen för drivrutiner.
• C:\WINDOWS\INF\setupapi.app.logdata om installation av komponenter och applikationer.
• C:\WINDOWS\Panther\PreGatherPnPList.log y PostGatherPnPList.loginventering av enheter före och efter denna fas.

Om datorn fastnar på "Förbereder Windows" eller på en uppdateringsprocent under en längre tid, Dessa loggar låter dig se vilken del av processen som har stannat.oavsett om det är en felaktig grafikdrivrutin, en problematisk USB-enhet eller ett fel vid migrering av ett visst program.

Windows välkomstfas (OOBE)

När installationen är nästan klar går den in i den fas som kallas Windows-välkommen eller OOBE (Out-Of-Box Experience). Här begärs data som datornamn, användarkonton skapas och systemprestandatester utförs för att beräkna Windows experience index (i versioner där den här funktionen finns).

Loggar i denna fas är återigen koncentrerade till Panther och INF, med rutter som:

• C:\WINDOWS\PANTHER\setupact.log y setuperr.logDe fortsätter att registrera handlingar och fel.
• C:\WINDOWS\PANTHER\miglog.xml: fortsätter att återspegla data om användarmigrering.
• C:\WINDOWS\INF\setupapi.dev.log y setupapi.app.log: drivrutiner och applikationer.
• C:\WINDOWS\Panther\PreGatherPnPList.log y PostGatherPnPList.logslutkontroll av anslutna enheter.
• C:\WINDOWS\Prestanda\Winsat\winsat.logResultat av testerna i systembedömningsverktyget.

Om du efter att ha skapat användaren och nått skrivbordet märker att systemet Det är mycket långsammare än väntat, eller så fungerar vissa komponenter inte korrekt.Att granska winsat.log och drivrutinsloggar kan ge dig ledtrådar om vilken hårdvara som inte fungerar eller vilken drivrutin som kan ha misslyckats under testet.

Återställningsfas (när uppdateringen misslyckas och du återställer)

Inte alla Windows-installationer lyckas. När en större uppdatering misslyckas försöker systemet vanligtvis återställ ändringarna och återgå till föregående skrivbordI dessa fall genereras också värdefulla loggar för att förstå vad som gick fel.

I återgångsscenarier hittar du mappen igen. C:$WINDOWS.~BT\Källor\Panthermen med några ytterligare filer specifika för denna fas:

• setupact.log: åtgärder som utförts under installationsförsöket och återföringen.
• miglog.xmldetaljer om migreringen av användarkatalogen.
• setupapi\setupapi.dev.logDrivrutiner och enheter under installation/återställning.
• setupapi\setupapi.app.log: berörda applikationer.
• PreGatherPnPList.log y PostGatherPnPList.loginventering före och efter uppdateringsförsöket.

När en uppdatering misslyckas och du återgår till det tidigare systemet med ett allmänt meddelande, Dessa loggar är utgångspunkten för att upptäcka om problemet var en inkompatibel drivrutin, ett datamigreringsfel eller ett fel i installationsmediet.Det här är också de filer som Microsofts tekniska support vanligtvis begär när ett ärende av den här typen öppnas.

Händelseloggar och händelsevisare för Windows-installationer

Förutom de klassiska textfilerna loggar Windows också mycket av installationsinformationen i en binär spårningsfil som heter Setup.etl, som vanligtvis finns i mappen %WINDIR%\PantherDen här filen är en del av Event Trace for Windows (ETW)-systemet och samlar in prestandahändelser och detaljer om installationsprocessen.

För att visa innehållet i Setup.etl räcker det inte att bara öppna det med Anteckningar: du måste använda... Händelsevisaren eller kommandoradsverktygDet första du bör göra är att se till att du använder rätt ETW-leverantörer, vilka ingår i installationsmediet för samma version av Windows som du analyserar.

Om du undersöker loggar på en dator där motsvarande verktygssats inte är installerad kan du köra ett skript från roten av Windows installationsmedium för att registrera den nödvändiga ETW-providern. Det typiska kommandot i konsolen skulle vara något i stil med:

Cscript D:\sources\etwproviders\etwproviderinstall.vbs install D:\sources\etwproviders

I det här exemplet, brevet D Detta hänvisar till den enhet där installations-DVD:n eller USB-enheten är monterad. När leverantören är installerad kommer Loggboken att kunna tolka den korrekt. data från Setup.etl och visa den i ett läsbart format.

Så här visar du installationshändelser i Loggboken

Loggboken är standardverktyget i Windows för granskning systemloggar, program, säkerhet och installationshändelserFör att granska installationsloggen som sparats i Setup.etl kan du följa denna allmänna procedur:

1. Öppna Loggboken från Start-menyn eller genom att köra eventvwr.msc.
2. Expandera avsnittet i den vänstra panelen Windows-loggar och välj System (eller lämpligt register, beroende på vad som är tillämpligt).
3. I den högra panelen klickar du på Öppna sparad post och sök efter filen Setup.etl, som som standard finns i %WINDIR%\Panther.
4. När innehållet i Setup.etl har laddats visas det som en lista över händelser som kan filtreras, sorteras och sökas i.

Den här vyn låter dig fokusera på de relevanta elementen för installationen eller uppdateringen du undersöker, filtrera efter nivå (fel, varning, information) eller efter händelseidentifierare, och visa de tekniska detaljerna för varje post.

Exportera installationsloggar till text eller XML

Det är användbart vid många tillfällen Exportera installationsloggarna till text- eller XML-format att analysera dem med andra verktyg, dela dem med teknisk support eller helt enkelt arkivera dem. För detta kan du använda inbyggda kommandoradsverktyg som Wevtutil o Tracerpt.

För att till exempel visa innehållet i Setup.etl från konsolen med Wevtutil kan du köra:

Wevtutil qe /lf C:\windows\panther\setup.etl

Och om du föredrar att bearbeta spårningen med Tracerpt för att generera rapporter kan du använda:

Tracerpt /l C:\windows\panther\setup.etl

Dessa verktyg har många ytterligare alternativ som kan granskas med hjälp av den inbyggda kommandoradshjälpen. I vilket fall som helst, De gör det enklare att konvertera en komplex ETL-fil till något mer hanterbart. för analys eller inlämning till tredje part.

Viktiga loggplatser under Windows-installationen

Förutom Panther- och tillfälliga installationsvägar finns det flera standardplatser där Windows sparar poster som är relevanta för installationsprocessen och systemets efterföljande drift.Några av de viktigaste är följande.

Först, mappen %WINDIR%\Inf Den innehåller flera viktiga loggfiler för att förstå hur drivrutiner och program installeras och hanteras. Mer specifikt:

• setupapi.dev.log: registrerar installation, uppdatering och borttagning av Plug and Play-enheter.
• setupapi.app.logfokuserar på installation av applikationer och programvarukomponenter.

Å andra sidan kan filer genereras under installationsprocessen minnesdump när systemet stöter på allvarliga verifieringsfel. Två typiska exempel är:

• %WINDIR%\Memory.dmp: fullständig minnesdump efter en felkontroll (blå skärm).
• %WINDIR%\Minidump.dmpminidumpar med mer sammanfattad information om felet.

I bildförberedelser eller automatiseringsscenarier lagras även specifika loggar i %WINDIR%\System32\Sysprep\Panther, där allt som rör användningen av Sysprep för att generalisera Windows-avbildningar innan de distribueras på flera datorer samlas.

Slutligen skapar vissa tredjepartsapplikationer sina egna Installationsloggar i sökvägar som C:\ProgramData\AppName\LogsEtt exempel skulle vara en fil som C:\ProgramData\inFlow Inventory\Loggar\installer.logvilket kan visa mycket specifika felmeddelanden, till exempel körtidsfel, när installationsprogrammet begär att körningen avslutas onormalt.

Typer av Windows-registerfiler utöver installation

Installationsloggar är bara en del av hela logg-ekosystemet som Windows underhåller. I det dagliga bruket är det också viktigt att vara medveten om... Vilka andra typer av loggar finns och vad används de till?eftersom ett installationsfel ofta är kopplat till ett system-, säkerhets- eller programproblem.

De huvudsakliga typerna av poster som hanteras av operativsystemet inkluderar:

• SystemloggarDessa loggar innehåller information om hårdvarufel, drivrutinsproblem, start- och avstängningshändelser etc. De konsulteras främst i systemhändelselogg.
• ApplikationsloggarDe samlar in händelser som genereras av installerade program, såsom krascher, varningar eller diagnostisk information.
• SäkerhetsloggarDe fokuserar på inloggningshändelser, kontohantering, åtkomst till känsliga resurser och allt som rör säkerhetsrevision.
• InstallationsregisterUtöver de som redan nämnts för själva systemet genererar många applikationer sina egna loggfiler under installation och avinstallation.
• Återskickade händelserDe används för att samla in händelser från fjärrutrustning och centralisera dem i en enda visningsprogramvara, mycket användbart i affärsmiljöer.

Hela denna uppsättning register kan enkelt utforskas från Händelsevisaresom organiserar informationen i kategorier som "Windows-loggar" och "Program- och tjänstloggar". Inom den senare ser du Leverantörer av händelsespårning för Windows (ETW) som möjliggör aktivering eller inaktivering av inspelning av enskilda komponenter för mer detaljerad diagnostik.

Var man hittar de fysiska loggfilerna på disken

Förutom Loggboken är det bra att veta var loggfilerna fysiskt lagras på diskenifall du behöver kopiera, arkivera eller analysera dem med andra externa verktyg.

De vanligaste platserna i moderna versioner av Windows inkluderar:

• C:\Windows\System32\winevt\LoggarDet är här .evtx-filerna lagras, vilka motsvarar de olika loggarna du ser i Loggboken (Program, System, Säkerhet, etc.).
• C:\Windows\Loggar: mapp där loggar relaterade till Windows Update, systemkonfiguration och andra interna uppgifter kan visas.
• C: \ Program Files och undermappar: många program lagrar sina egna loggar i sin installationskatalog, i en "loggar"-mapp eller liknande.
• C:\Users\\AppData (Lokalt och roaming): många applikationer skapar sina egna loggfiler här för att registrera fel, statusar och åtgärder.

Att känna till dessa rutter hjälper dig att hitta Ytterligare loggar som förklarar varför ett installationsprogram stoppas utan något meddelandeeftersom felet kan ha registrerats i programmets egen logg, i systemloggarna eller i en parallell spårningsfil.

Använda händelseloggen för att analysera installationsproblem

Loggboken används inte bara för att öppna Setup.etl, utan det är också centralt verktyg för att granska alla Windows-händelseloggarHärifrån kan du visa program, säkerhet, system, installation, konfigurationshändelser etc. och filtrera dem för att gå direkt till det som intresserar dig.

För att öppna den, tryck helt enkelt Windows + R, att skriva eventvwr.msc och tryck på Enter. Inuti, i avsnittet Windows-loggarDu hittar avsnitten Program, Säkerhet, Installation (eller Konfiguration, beroende på version) och System, samt loggen för vidarebefordrade händelser. Var och en av dessa avsnitt visar en kronologisk lista över händelser med deras allvarlighetsgrad.

I grenen av Program- och serviceloggar Du kommer att se specifika ETW-leverantörer för olika Windows-komponenter och program. Här kan du aktivera eller inaktivera detaljerad loggning för diagnostiska ändamål. mycket specifika problem med en komponent, perfekt när en allmän logg inte erbjuder tillräcklig detaljnivå.

När man undersöker installationsfel är det ofta bra att kombinera det man ser i Panthers setupapi-filer och andra textloggar med information från Loggboken, eftersom Många viktiga fel registreras på båda webbplatsernatillhandahålla ytterligare kontext, såsom händelseidentifierare, systemfelkoder och länkar till officiell dokumentation.

Åtkomst till loggar med PowerShell och kommandotolken

Om du vill automatisera eller behöver samla in information från skript kan du komma åt Windows-loggar. utan att öppna händelseloggenmed hjälp av PowerShell eller kommandotolken.

I PowerShell kan du till exempel snabbt fråga systemloggen med cmdlets som extraherar händelser filtrerade efter datum, typ eller identifierare, vilket är mycket praktiskt för Automatisera diagnostik efter ett installationsfelÄven om innehållet som tillhandahålls fokuserar mer på idén än de exakta kommandona, tillåter typiska cmdlets dig att göra dessa frågor på ett flexibelt sätt.

Från kommandotolken, som redan nämnts, verktyget wevtutil det tillåter dig visa, exportera och hantera händelseloggar, inklusive de som är relaterade till installation. Kombinerat med batchskript eller schemalagda uppgifter är det mycket användbart för miljöer där många maskiner behöver övervakas samtidigt.

Sammantaget passar dessa kommandoradsalternativ mycket bra med resten av loggverktygen, eftersom De möjliggör integration av installations- och systemhändelseläsning i automatiserade arbetsflödenDetta är särskilt intressant i företagsmiljöer eller för tekniker som stödjer många team.

Med allt ovanstående i åtanke är det tydligt att Windows Installer-loggar, Panther-filer, SetupAPI-loggar och händelser i Loggboken utgör ett mycket omfattande informationsnätverk. Att utnyttja det på ett bra sätt innebär att gå från "Jag har ingen aning om varför det inte installeras" till att kunna fastställa exakt vilken drivrutin, komponent eller systemfel som orsakade problemet, och därmed ha många fler alternativ för att åtgärda det snabbt och korrekt.