wusa logfile lesen
- Hallo,
ich installiere unter Windows 7 Hotfixe mit wusa.exe, z. B.:
wusa.exe %~dp0Windows6.1-KB972270-x86.msu /quiet /norestart /log:%LogPath%\Hotfixe\KB972270.log
Die Hotfixe werden sauber installiert, die Logdatei auch geschrieben. Zusätzlich wird eine Datei KB972270.log.dpx geschrieben.
Mein Problem: Ich weiß nicht, wie ich die geschriebenen Logfiles lesen soll, da sie keinen normalen Text enthalten.
Gibt es ein spezielles Tool für die Logfiles oder eine Möglichkeit, normale Textfiles zu erhalten?
Viele Grüße
Kurt
Antworten
- Hi Kurt
die WUSA generierten Logs können in der Ereignisanzeige/Event Viewer geöffnet werden. Am einfachsten die .log und .log.dpx Dateien in .evtx und evtx.dpx umbenen.
Gruß
Andrei- Als Antwort markiertAndrei TalmaciuMSFT, ModeratorDonnerstag, 18. Februar 2010 14:17
- Hallo Andrei,
nachdem der eine Rechner nach der Neuinstallation funktioniert hat, habe ich mir nochmals überlegt, was sich geändert hat.
Während der Installation des Rechners blieb eine Treiberinstallation hängen. Beim manuellen Versuch, den Treiber zu installieren, kam der Hinweis, dass die Policy
"Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern" für die Installation aktiviert sein muss. Diese Policy habe ich dann von der für UNternehmen empfohlenen Einstellung deaktiviert auf aktiviert geändert und den Rechner erneut neu installiert. Danach lief nicht nur die Installation durch, es funktionierte auch mit meinen Logfiles.
Auf einem der beiden anderen Rechnern funktionierte es noch nicht, die Policyänderung hatte noch nicht gezogen. Nach einem gpupdate /force und anschließendem Neustart funktionierte das Lesen der Logfiles auch auf diesem Rechner.
Allerdings konnte ich es nicht umkehren, d. h. nach dem erneuten deaktivieren der Richtline und einem Neustart des Rechners funktionierte das mit den Logfiles noch immer. Ich habe allerdings nicht mehr sehr intensiv getestet.
Eventuell spielt diese Richtlinie hier wirklich rein...
Viele Grüße
Kurt- Als Antwort markiertAndrei TalmaciuMSFT, ModeratorDonnerstag, 18. Februar 2010 14:16
Alle Antworten
- Hi Kurt
die WUSA generierten Logs können in der Ereignisanzeige/Event Viewer geöffnet werden. Am einfachsten die .log und .log.dpx Dateien in .evtx und evtx.dpx umbenen.
Gruß
Andrei- Als Antwort markiertAndrei TalmaciuMSFT, ModeratorDonnerstag, 18. Februar 2010 14:17
- Hallo Andrei,
ich hatte es Versucht, die Dateien im Eventviewer zu öffnen, bekam aber Ferhlermeldungen.
Heute morgen habe ich die Dateiendungen dann umbenannt, nun wird es noch komischer:
Sobald ich die Datei im Eventviewer öffne, wird sie gelöscht.
Im Prozessmonitor sehe ich den Eintrag
SetDispositionInformationFile <Pfad und Name.evtx> SUCCESS Delete:True
CloseFile
Danach wird gleich die Windows Critical Stop.wav angefasst...
Entsprechen die Informationen in diesen Log-Files dem, was sowieso ins Eventlog geschrieben wird?
Viele Grüße
Kurt - Hi Kurt
es wird ausführlich protokoliert. Ein Log sollte so aussehen:
Es könnte sein dass die Log-Datei korrupt ist. Könntest du evtl. den Hotfix noch einmal installieren und die Log Datei direkt per Kommandozeile als evtx speichern?
Gruß
Andrei - Hallo Andrei,
es bleibt dabei, auch wenn ich die cmd.exe als Administrator starte und die Log-Datei direkt als evtx speichere, wird sie beim Öffnen im Eventviewer gelöscht. Die Datei mit der Endung .evtx.dpx bleibt bestehen.
Wenn ich ein z. B. das Anwendungsprotokoll speichere und dieses dann als gespeichertes Protokoll öffne, dann funktioniert es wie erwartet.
Viele Grüße
Kurt wenn der /quiet Paramater ausgelassen wird, kommen irgendwelche aussergewöhnliche Meldungen bei der Installation vor?
Könnte evtl. ein Virenschutzprogramm dazwischen greifen?
Wird beim Abbruch der Ereignisanzeige eine Fehlermeldung protokolliert?
ich habe es auch mit dem gleichem Update und Parameter auf einem Win7 Ent x86 probiert und konnte die Log-datei öffnen. Besteht die Möglichkeit es auch auf einer anderen Win 7 Maschine auszuprobieren?- Hallo Andrei,
ohne die Parameter /quiet und /restart verläuft die Installation ganz normal, ohne Fehlermeldungen.
Ich habe auf 3 verschiedenen Rechnern getestet, 2x Enterprise, 1x Professional, die beiden Enterprise Rechner sind mit Symantec Endpoint Protection installiert, der Pro Rechner hat keinen Virenschutz.
Bei allen drei Rechnern das selbe Verhalten.
In der Ereignisanzeige wird nichts protokolliert.
Wenn ich das Logfile öffnen möchte wird es gelöscht, ich bekomme die Fehlermeldung, dass die Datei nicht gefunden wird.
Im Eventviewer wird die Verknüpfung auf die Datei erstellt, wenn ich sie anklicke, kommt ebenfalls die Fehlermeldung, dass die Datei nicht gefunden wird.
Führe ich die Installation nun erneut aus, wird das Logfile wieder geschrieben. Wenn ich nun im Eventviewer auf die Verknüpfung klicke wird mir das Protokoll problemlos angezeigt.
Das Logfile als solches scheint also OK zu sein.
Viele Grüße
Kurt - Hallo Andrei,
ich habe heute den Pro Rechner mit der Enterprise Version neu installiert, auf diesem Rechner funktioniert es jetzt.
Die geschriebenen Logfiles haben nach der Installation die Endung .log, wenn ich diese im Eventviewer öffne wird eine .evtx datei generiert und der Inhalt angezeigt, so wie es sein soll.
In unserer Installationsroutine ist meines Wissens nichts geändert worden, die beiden anderen Rechner wurden ebenfalls vor kurzem mit dieser Routine installiert.
Viele Grüße
Kurt - Hi Kurt
gut dass es jetzt wenigstens (auch wenn nur für einen Rechner) funktioniert. Kommt beim Ausführen vom sfc /scannow Befehel auf den anderen Rechner etwas auf?
Gruß
Andrei - Hallo Andrei,
nachdem der eine Rechner nach der Neuinstallation funktioniert hat, habe ich mir nochmals überlegt, was sich geändert hat.
Während der Installation des Rechners blieb eine Treiberinstallation hängen. Beim manuellen Versuch, den Treiber zu installieren, kam der Hinweis, dass die Policy
"Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern" für die Installation aktiviert sein muss. Diese Policy habe ich dann von der für UNternehmen empfohlenen Einstellung deaktiviert auf aktiviert geändert und den Rechner erneut neu installiert. Danach lief nicht nur die Installation durch, es funktionierte auch mit meinen Logfiles.
Auf einem der beiden anderen Rechnern funktionierte es noch nicht, die Policyänderung hatte noch nicht gezogen. Nach einem gpupdate /force und anschließendem Neustart funktionierte das Lesen der Logfiles auch auf diesem Rechner.
Allerdings konnte ich es nicht umkehren, d. h. nach dem erneuten deaktivieren der Richtline und einem Neustart des Rechners funktionierte das mit den Logfiles noch immer. Ich habe allerdings nicht mehr sehr intensiv getestet.
Eventuell spielt diese Richtlinie hier wirklich rein...
Viele Grüße
Kurt- Als Antwort markiertAndrei TalmaciuMSFT, ModeratorDonnerstag, 18. Februar 2010 14:16
