Главная » Linux

Windows cbs log what is

Содержание
  1. Как исправить windir\Logs\CBS\CBS.log повреждён
  2. Что такое CBS.log?
  3. Как исправить ошибку Windir\Logs\CBS\CBS.log
  4. Альтернативные решения при повреждении CBS.log
  5. Устранение ошибок, найденных в CheckSUR.log
  6. Использование журнала CheckSur
  7. Файл CBS.log содержит записи о том, что некоторые файлы не восстанавливаются даже после успешного запуска с помощью SFC на компьютере с Windows Server
  8. Симптомы
  9. Причина
  10. Дополнительные сведения
  11. Прочее Как правильно анализировать cbs.log и результаты проверки sfc /scannow
  12. Кирилл

Как исправить windir\Logs\CBS\CBS.log повреждён

При проверке целостности системных файлов с помощью утилиты SFC пользователь может получить сообщение об обнаружении ряда повреждённых файлов, восстановить которые не удалось. Данные о таких файлах система записывает в файл CBS.log, открыть который также не удаётся по различным причинам (в частности из-за повреждения данного файла). В данном материале я разберу, что предпринять в такой ситуации, и каким образом исправить дисфункцию windir\Logs\CBS\CBS.log повреждён на вашем ПК

Что такое CBS.log?

Системная утилита SFC, предназначенная для проверки целостности системных файлов ОС Виндовс, записывает данные по проверке и восстановлению файлов в файл CBS.log. Последний расположен по адресу %windir%LogsCBS, и может быть недоступным при попытке просмотреть его содержимое стандартным способом (через «Блокнот», файловый менеджер и др.).

Это может быть связано с закрытием доступа к данному файлу со стороны Виндовс, а также с повреждением данного файла по различным причинам (вирусы, осыпание диска, другие релевантные причины).

Для решения возникшей проблемы с повреждением windir\Logs\CBS\CBS.log необходимо воспользоваться алгоритмом, который я приведу ниже.

Как исправить ошибку Windir\Logs\CBS\CBS.log

В случае, если доступ к файлу закрыт на уровне системных настроек Виндовс, рекомендуется, запустит командную строку с правами администратора, в ней набрать:

после чего нажать на ввод. Файл данного лога будет сохранён на рабочем столе вашего PC, и вы сможете его просмотреть через самый обычный «Блокнот». Во время данного просмотра, в частности, вы можете увидеть, какие именно файлы утилита SFC посчитала повреждёнными, и скопировать их из стабильной системы.

Если же после запуска и работы утилиты SFC система выдала текст о невозможности восстановления ряда файлов, и записи информации об них в файле CBS, тогда выполните следующее:

Запустите командную строку от имени админа, и в ней последовательно наберите (обратите внимание на пробелы, они должны быть так, как приведено мной ниже:

Дождитесь полного окончания данных процедур (могут занять полчаса-час), а затем перезагрузите ваш PC. После этого всё должно стабильно работать.

Альтернативные решения при повреждении CBS.log

В ряде случаев причиной возникновения проблемы является действие вирусных программ и осыпание диска. В первом случае рекомендуется проверить ваш PC с помощью соответствующего антивирусного инструментария (например, Доктор Веб Кюрейт, AdwCleaner и других аналогов). Затем перезагрузить ПК, и постараться вновь получить доступ к данному лог-файлу.

В случае осыпания диска, рекомендую воспользоваться такими утилитами как «Victoria HDD», «HDD Regenerator» и других, которые проверят ваш диск на наличие битых секторов, и при возможности восстановят его.

Утилита «Виктория HDD» поможет в проверке вашего диска

Устранение ошибок, найденных в CheckSUR.log

В этой статье описывается, как устранить повреждения обслуживания, которые средство проверки готовности к обновлению системы (CheckSUR) находит, но не может исправить самостоятельно. Выходные данные средства записывают в файл %WinDir%\Logs\CBS\CheckSUR.log.

Исходная версия продукта: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 2700601

Убедитесь, что вы скачали и запустите последние версии CheckSUR.exe, так как средство периодически обновляется. Для этого см. исправление ошибок в Обновлении Windows с помощью средства DISM или system Update Readiness.

Использование журнала CheckSur

Чтобы использовать журнал CheckSur, следуйте следующим рекомендациям:

Если CheckSUR исправил все найденные ошибки, в журнале CheckSUR будут показаны следующие сведения:

Сводка.
Выполненные секунды: 100
Найдено 10 ошибок
Исправлено 10 ошибок

В этом сценарии на компьютере больше не должно быть повреждения обслуживания. Если у вас по-прежнему возникли ошибки, необходимо устранить определенное сообщение об ошибке, чтобы найти причину сбоя.

Если вы получили сообщение о недоступных файлах восстановления, это означает, что некоторые несогласованные файлы, найденные средством, не могут быть исправлены. Это происходит потому, что средство не имеет правильных версий заменяемого файла. После того как появится это сообщение, в checkSUR.log отобра печатались сведения, похожие на следующие:

Сводка.
Выполненные секунды: 264
Найдено 3 ошибки
Общее число отсутствующих 3 CBS ИТ-2013:
Недоступные файлы восстановления:

6.0.1.6.cat
winsxs\manifests\x86_microsoft-windows-servicingstack_31bf3856ad364e35_6.0.6002.18005_none_0b4ada54c46c45b0.manifest
winsxs\manifests\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_6.0.6002.18005_none_676975d87cc9b6e6.manifest

Чтобы устранить эту проблему, выполните следующие действия.

  1. Скачайте пакет, содержащий отсутствующие файлы. В этом примере необходимо скачать Windows6.0-KB958690-x64.msu.
  2. В %SYSTEMROOT%\CheckSUR папке создайте папку с именем Packages. Скопируйте Windows6.0-KB958690-x64.msu в %SYSTEMROOT%\CheckSUR\Packages папку.
  3. Повторное повторная проверка checkSUR.
  4. Если исходный пакет отсутствующих файлов не является очевидным, необходимо получить файлы с другого компьютера. Убедитесь, что компьютер, с которого копируют filhates, использует ту же версию ОС и системную архитектуру, что и компьютер, на котором вы работаете.
  5. Скопируйте файлы в папку поврежденного компьютера в следующем формате вложенных папок и повторно перезагрузийте %WinDir%\Temp\CheckSUR CheckSUR:
    • Поместите в папку все файлы типа *.and.cat. %WinDir%\Temp\CheckSUR\Packages
    • Поместите все файлы типа *.manifest в %WinDir%\Temp\CheckSUR\Manifests папку.
Читайте также:  Офис для linux manjaro

Если в файле payload отсутствует сообщение, это означает, что требуемая двоичная папка недоступна. Это означает, что проблема не устранена. В checkSUR.log показаны следующие сведения:

Сводка.
Выполненные секунды: 100
Найдено 3 ошибки
Устранение 1 ошибки
Общее число отсутствующих файлов полезной нагрузки CSI: 3
Исправление того, что в файле полезной нагрузки CSI отсутствует общее число: 1

(f) Файл payload CSI отсутствует 0x000000000 admparse.dll x86_microsoft-windows-ie-adminkitmostfiles_31bf3856ad364e35_6.0.6000.16386_none_abfb5fd109dad8b8 servicing_31bf3856ad364e35_6.0.6000.16386_none_23ddbf36a8a961bc
(f) Файл payload CSI отсутствует в файле bootmgr 0x00000000 x86_microsoft-windows-b.. re-bootmanager-pcat_31bf3856ad364e35_6.0.6000.16386_none_c0f2f087b6457236
(исправление) Файл полезной нагрузки CSI отсутствует в файле bootmgr 0x00000000 x86_microsoft-windows-b.. re-bootmanager-pcat_31bf3856ad364e35_6.0.6000.16386_none_c0f2f087b6457236
(f) Файл payload CSI отсутствует 0x000000000 winload.exe x86_microsoft-windows-b.. environment-windows_31bf3856ad364e35_6.0.6000.16386_none_6701d52e8fdf8d45

Чтобы устранить эту проблему, выполните следующие действия.

  1. Узнайте, какие файлы полезной нагрузки отсутствуют. Для этого проверьте журнал CheckSUR. Определите все строки с записью (f), за которой не следует (исправление). В предыдущем примере существует два файла полезной нагрузки, которые не были исправлены.
  2. Скопируйте эти файлы с другого компьютера. Убедитесь, что компьютер, с которого вы копируете файлы, использует ту же версию ОС и системную архитектуру, что и компьютер, на котором вы работаете.
  3. В paste the files into the appropriate subfolder under %windir%\winsxs .

Перед тем как поместить файлы в указанные расположения, вам может потребоваться предоставить себе разрешения на редактирование содержимого папки. Для этого откройте окно командной подсказки с повышенными повышенными уровнями и запустите следующие команды:

В этих командах представляет имя файла или папки, на которую вы

нацелены. Например, можно нацелить следующую папку:
C:\Windows\winsxs\x86_microsoft-windows-ie-adminkitmostfiles_31bf3856ad364e35_6.0.6000.16386_none_abfb5fd109dad8b8

Файл CBS.log содержит записи о том, что некоторые файлы не восстанавливаются даже после успешного запуска с помощью SFC на компьютере с Windows Server

В этой статье описывается проблема, из-за которой файл CBS.log записи при статических изменениях файла. Поскольку статический файл не защищен функцией Windows Resource Protection, функция сообщает об изменениях в файле CBS.log.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 954402

Симптомы

Программа проверки файлов системы (SFC) (Sfc.exe) служит для проверки изменений системных файлов Windows на компьютере с Windows Server 2008. При запуске совмещение SFC может появиться следующее сообщение:

Все файлы и ключи реестра, перечисленные в этой транзакции, успешно восстановлены.

Однако при просмотре файла %windir%\Logs\CBS\CBS.log, который создает программа Sfc.exe, могут появиться следующие записи:

, Сведения CSI 00000142 [SR] Восстановление 1 компонента
, Сведения CSI 00000143 [SR] Начало проверки и восстановления транзакции
, Info CSI 00000145 [SR] Cannot repair member file [l:18 <9>]»img11.jpg» of Microsoft-Windows-Shell-Wallpaper-Common, Версия = 6.0.5720.0, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = , Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatchch
, Сведения CSI 00000147 [SR] Не удается восстановить файл члена [l:18 <9>]»img11.jpg» Microsoft-Windows-Shell-Wallpaper-Common, Версия = 6.0.5720.0, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = , Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatchch
, Сведения CSI 00000149 [SR] Восстановление завершено
, Сведения CSI 0000014a [SR] Транзакция
, Сведения CSI 0000014e [SR] Проверка и восстановление транзакции завершены. Все файлы и ключи реестра, указанные в этой транзакции, успешно восстановлены

Причина

Статические и мутируемые файлы — это два типа файлов, определенных в системе. Статические файлы нельзя изменить. Изменяемые файлы можно изменить. Файлы реестра и файлы журналов являются примерами изменяемых файлов. Функция Windows Resource Protection (WRP) не сканирует мутируемые файлы. Функция WRP сканирует статические файлы, когда программа SFC сканирует компьютер. Функция WRP помогает защитить большинство статических файлов. Однако в этом случае функция WRP не защищает Img11.jpg статического файла. Если статический файл изменяется при сканировании файла функцией WRP, это изменение записи в файл CBS.log. Так как функция WRP не защищает статический Img11.jpg, то у функции WRP нет другого варианта, кроме как сообщить об изменении в файле CBS.log.

Дополнительные сведения

Программа Sfc.exe записывает сведения о каждой операции проверки и каждой операции восстановления в файл CBS.log. Каждая SFC.exe программы в файле CBS.log имеет тег [SR].

Служба установщика модулей Windows также записывает данные в файл CBS.log. Служба установщика модулей Windows устанавливает дополнительные функции, обновления и пакеты обновления.

Вы можете искать теги [SR], чтобы найти SFC.exe записей программы. Чтобы найти теги [SR] и перенаправить результаты поиска в текстовый файл, выполните следующие действия:

Нажмите кнопку «Начните», введите cmd в поле «Начните поиск», щелкните правой кнопкой мыши в списке «Программы» и выберите «Запуск от прав администратора».

Если вам будет предложено ввести пароль администратора или подтвердить его, введите пароль или нажмите кнопку «Продолжить».

В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

Этот Sfcdetails.txt содержит записи, которые регистрируются при каждом запуске программы SFC.exe на компьютере.

Введите выход и нажмите ввод, чтобы закрыть окно командной подсказки.

Прочее Как правильно анализировать cbs.log и результаты проверки sfc /scannow

Кирилл

Начну с небольшого определения:
Что такое cbs.log?

Файл-лог журнала обслуживания windows, который содержит подробные сведения об ошибках автономного обслуживания, подробные сведения об ошибках интерактивного обслуживания, а так же как вспомогательный элемент для dism.exe

Не вдаваясь в тонкости осмысливания написанного ( определение взято отсюда ) сообщу следующее:

Многим из нас знакома программа sfc.exe, с помощь которой можно проверить состояние целостности защищенных системных файлов.
(Обсуждение в этой теме: Обзор утилиты sfc.exe )
Результат ее работы будет отражен как раз так же в этом логе.
Но, для большинства пользователей, анализ результата проверки остается трудновыполнимой задачей.

Хорошо, если система рапортует о том, что защита ресурсов wiindows не обнаружила поврежденных файлов или что все поврежденные файлы восстановлены.
А что делать, если мы видим что то вроде такого сообщения?

Программа защиты ресурсов Windows обнаружила поврежденные файлы, но не может восстановить некоторые из них

Один из шагов к решению проблемы — это произвести анализ лога, который создается при сканировании. Лог-файл находится по пути %windir%\logs\cbs\cbs.log и открыть его можно любым текстовым редактором, включая стандартный notepad.
Неподготовленный пользователь, открыв и посмотрев лог, скорее всего испытает острое желание закрыть файл и больше не открывать. Поэтому, для комфорта восприятия, пользователи придумали приводить лог в более читабельный вид, распарсив его и отфильтровав «лишние» записи оставить только те, что нужны.
Сделать это можно разными методами, кстати — в сети распространен метод с парсингом файла cbs.log введя в командной строке простую команду:

Но, как показала практика, этот метод подходит лишь для того, что бы понять были повреждены защищенные системные файлы или нет.
Как оказалось, иногда, в случае выявления проблем или когда необходимо увидеть какие операции производились, то полученной таким методом информации оказывается недостаточно для того, отразить полноценную куартину.

Как быть?
Для более комфортного первоначального анализа мы с коллегами создали такой скрипт:
Проверка целостности системных файлов утилитой sfc

Запустив скрипт вы сможете произвести проверку целостности системных файлов, произвести очистку и восстановление хранилища данных windows, в котором хранятся резервные копии защищенных системных файлов windows.
Из этих копий и производится восстановление поврежденных файлов.
Скрипт выводит аналогичный, но чуть более информативный лог + копирует в каталог запуска скрипта сам файл cbs.log.
А так же очищает старые записи, что немного экономит место на диске и спасает от зависаний компьютера ( при определенных условиях) при попытке открыть cbs.log. Да и читать будет удобнее и меньше.
Это связано с тем, что порой размер файла cbs.log может раздуваться и я видел монстров по 40 с лишним мегабайт. в общем, скрипт его «облегчает» до оптимального объема.
Идем дальше.
Пробуем читать cbs.log.

Что нужно знать?

При обнаружении поврежденных защищенных системных файлов SR пытается их восстановить из хранилища данных.
Само хранилище данных находится по адресу:

И, если по каким то причинам не удалось получить доступ к файлам или в хранилище они тоже оказались повреждены — в таком случае периодически мы можем наблюдать сообщение о невозможности восстановления файлов.
К которому бонусом может присоединиться какая нибудь трабла в работе системы.
=========================================================

Напомню, что лог cbs.log находится по такому пути:

Вернемся, непосредственно, к файлу cbs.log. Вы его уже открыли в текстовом редакторе?
Открывайте.
Лично мне более удобным для работы с файлами такого типа является редактор notepad++
Так как редакторов много и каждый волен выбирать тот, что ему по душе — то далее я буду описывать свои действия в редакторе в контексте интерфейса notepad++ , а вы (если пользуетесь другим) , можете ориентироваться по аналогии в своем.

Думаю вы уже до этого находили информацию о том, что нужные нам действия помечаются тегом [SR] в каждой строке — именно по этому признаку и принято парсить cbs.log. А если вы не знали — значит узнали теперь)
Теперь у нас с вами два варианта: либо переходить сразу к проблемным файлам через поиск (это если у вас уже есть отфильтрованый одним из упомянутых методов лог) либо вывести все строки с тегом [SR].
Я лично всегда так делаю — легче потом будет навигация.
В notepad++ есть возможность вывести в дополнительной области все найденные по маске ( тегу [SR] ) строки.

Делается это просто: открываем поиск (кнопка в виде бинокля), вводим в строку поиска [SR], далее нажимаем кнопку «Найти все в текущем документе» и получаем в нижней области программы все строки найденные по нужному фильтру, а в вверхней области основной текст файла cbs.log, как видно на скриншоте:

Это позволит вам видеть проблемные места (нижняя область) и одновременно смотреть сопутсвующую информацию по ним в основном логе (верхняя область).
Ну как, все получилось?

Далее в нижней области, где отфильтрованы строки с тегом [SR] пропускаем все что выглядит примерно так:

Сделать это легко — достаточно воспользоваться скроллом, потянув за него указателем мышки.
Почему пропустить? Файлы системой защиты проверяются блоками по 100 файлов и это на сейчас служебная информация, не несущая для нас полезной нагрузки.

Как только находим нечто отличающееся — стоп.
Например:
2017-10-29 21:28:40, Info CSI 000001e1 [SR] Cannot repair member file [l:24<12>]»gpscript.exe» of Microsoft-Windows-GroupPolicy-Script, Version = 6.1.7601.23452, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = , Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

Все, сейчас мы нашли то, что надо.
Если вбить в переводчик то, что написано раздельным текстом, то можно вполне понять что не так.
На примере данной строки давайте и разберемся.

Пусть перевод несколько забавный, но суть мы уловили — не удалось восстановить файл gpscript.exe, в хранилище компонентов он так же считается поврежденным, так как хэш сумма файла не совпадает с эталоном.
Что дальше?
Дальше можно либо приступить к восстановлению хранилища компонентов, либо смотреть какой файл нужен, где он должен лежать и как его восстановить, если нет возможности автоматически восстановить хранилище компонентов.
Начнем с второго варианта — получаем информацию о файле. Находим упомянутую строку в основном логе:

Тут мы отчетливо видим, что файл в хранилище должен быть по адресу:
Hashes for file member \SystemRoot\WinSxS\x86_microsoft-windows-grouppolicy-script_31bf3856ad364e35_6.1.7601.23452_none_677acd98e72e71cc\gpscript.exe
Версия его: Version = 6.1.7601.23452 и на него ссылается компонент патча KB3159398.
Открываем упомянутый патч на сайте Microsoft:
Download Обновление для системы безопасности Windows 7 (KB3159398) from Official Microsoft Download Center
Находим там ссылку «Связанные ресурсы», переходим.
https://support.microsoft.com/ru-ru. -the-security-update-for-group-policy-june-14
Открываем сведения о файлах и находим тот, что нам нужен:

Все, значит это то, что нам нужно.
Просто переустанавливаем это обновление и нужные файлы перезаписываются. А значит — все станет ОК.

Это был пример на живом логе реальной системы.

Почему необходимо найти именно такой же файл и такой же версии?
Потому что когда данный файл внедрялся в систему, то создается ряд условий, на основании которых система защиты будет считать «правильным» только такой файл, который будет соответствовать этим самым условиям.
Другими словами, если какое то из обновлений системы, к примеру, обновляло версию файла и эталоны, то файл из ранее сделанной резервной копии, но другой версии будет считаться неактуальным.
Именно поэтому часто встречающуюся рекомендацию:
Вставьте диск (флэшку) с дистрибутивом вашей версии операционной системы и введите sfc / scannow .
Можно смело пропускать мимо ушей, глаз или как там еще информация дошла до вас.

Тут имеется очень важный нюанс — дистрибутив должен быть именно таким же.
То есть с точно таким же набором обновлений, патчей и заплаток.
А найти такой дистрибутив довольно сложно, если вообще будет возможным.

Конечно, если вы были настолько благоразумны, что после очередного обновления сделали резервный диск восстановления — то тут, конечно, все в порядке и файлы подойдут.

Так же файл, считающийся системой защиты поврежденным может не запуститься или работать некорректно.
Он может некорректно взаимодействовать и с другими компонентами операционной системы или прочим программным обеспечением.

Отсюда можно сделать вывод, что при первоначальной проверке заморачиваться на счет наличия дистрибутива не стоит.
Исключение Windows XP — там система потребует наличия папки I386, которая имеется как раз на дистрибутиве (если у вас нет где то отдельно).
В нашем скрипте проверка ее наличия осуществляется автоматически и пользователю не придется выполнять танцы с бубном для того, что бы указать системе где она, если не удастся обнаружить.
Достаточно смонтировать образ диска и все.

Как еще можно восстановить поврежденные файлы?

Можно попытаться выполнить автоматическое восстановление хранилища компонентов через пункт «Расширенная проверка и восстановление файлов» скрипта, или запустив командную строкуот имени Администратора и ввести команду:
(Для Windows 8 — 10)
dism /Online /cleanup-image /restorehealth

Для Windows 7 команда будет выглядеть немного иначе, а так же потребуется наличие установленного Download Обновление для Windows 7 (KB2966583) from Official Microsoft Download Center

DISM /Online /Cleanup-Image /ScanHealth

В обоих случаях интернет должен быть подключен.
После того, как хранилище компонентов будет восстановлено, попробуйте снова выполнить проверку sfc /scannow
Как правило этой операции бывает достаточно.

Если вам понадобилось восстановление файлов хранилища данных вручную — то вам понадобится стать владельцем объекта и получить права на изменение.

Итак, теперь общее понимание у нас имеется, далее просто будем собирать типовые примеры записей лога cbs.log и методы исправления проблем.

Для того, что бы облегчить себе задачу и сэкономить время+силы, я использую для первоначального анализа файл sfcdoc.log, создаваемый скриптом.
Можно использовать и sfcdetalis.txt — но он менее информативен.

Там мы увидим информацию о версии системы, разрядности, установленных патчах и другие вещи.
Нас в логе интересует блок

Оцените статью
© 2024 Советы по настройке компьютера