Cbs что это за папка windows 7

Windows занимает много места на диске.

В статье описывается один из случаев решения проблемы, в которой от сеанса к сеансу Windows занимает много места на жёстком диске, причём очистка временных папок не приносит результата и проблема постоянно возвращается.

Пытаетесь обнаружить куда исчезло свободное пространство жёсткого диска? Ситуация усложняется порой и тем, что вроде ничего не устанавливалось, а десятки и иногда даже сотни гигабайт пространства как сдуло… Но слушайте далее.

Пользователи Windows иногда, между тем, сообщают о странном поведении системы. Используя методы обнаружения «поглотителей пространства» в статье «Почему жёсткий диск переполнен?» или правильные настройки дефрагментации с оптимизацией таблицы MFT, можно рассчитывать на временные положительные результаты. Однако к концу сеанса Windows занимает много места повторно : лог-файлы Windows накапливаются раз от раза, занимая порой сотни гигабайт, генерируя отдельные файлы пачками по 100 Мб каждый. «Вредная» папка вроде бы обнаружена — это C:\Windows\Temp, однако поделать нельзя ничего: файлы с раcширением .cab заполняют временное хранилище до тех пор, пока свободное место на диске не исчезнет совсем. Это действие схоже с манёвром трояна, замаскированного под антивирус, который к концу «сеанса» сожрёт всё свободное место на HDD.

Windows занимает много места: суть вопроса

Разрабам Windows об этой проблеме давно известно. Известно, что проблема проистекает от результатов работы Компонентно-Ориентированного Обслуживания системы (Component-Based Servicing), создающего порой логи неимоверных размеров. Располагаются оные в папке C:\Windows\Logs\CBS. Текущий лог именуется как cbs.log. Но как только он достигает в своём размере некоего значения, запускаемый процесс очистки сразу переименовывает этот файл в файл типа .log и сразу пытается его сжать в размерах, присвоив в итоге получившемуся файлу расширение .cab. при помощи системной утилиты makecab.exe. Но вот тут-то пользователя порой и подстерегает «бонус»: когда файл cbs.log достигает размера 2 Гб перед тем, как процесс очистки успевает к нему обратиться за сжатием, указанная утилита.. с ним справиться не может — а он, мол, уже слишком большой: утилита makecab.exe откровенно «тупит», когда сталкивается с файлами таких размеров. Лог переименовывается в CbsPersist-время-дата.log и, когда makecab.exe пытается его сжать, появляется ошибка. Ошибка зацикливается и в итоге: каждые 15 — 30 мин. (у всех по-разному)

Windows занимает много места: вероятное решение

Итак, если вы столкнулись с ситуацией, когда раз от раза Windows занимает много места на жёстком диске, попробуйте так:

Теперь makecab.exe не сможет неправильно обрабатывать файлы и захламление диска должно прекратиться. А если лог-файлы Windows не понадобятся, вы можете удалить и их.

Второй вариант

Скачайте, разархивируйте и запустите через Power Shell от имени администратора файл

Источник

Почему размер файла CBS.log составляет 20 ГБ?

Два дня назад у меня был полный C: диск, после которого я удалил 8 ГБ данных. На следующий день жесткий диск снова был заполнен, поэтому я продолжил удаление еще 5 ГБ, и на следующий день диск снова был заполнен.

После некоторых поисков причин, по которым дисковое пространство заполнялось так быстро, я воспользовался этим windirstat инструментом, чтобы определить, какие файлы занимают больше всего места. Я обнаружил, что CBS.log размер файла c:\windows\logs\cbs\ 20 ГБ.

Я использую Windows 8.

Это файл, который создается средством проверки ресурсов Microsoft Windows (SFC.exe).

Нет, оно не должно быть таким большим. CBS.persist.log должен генерироваться, когда размер CBS достигает около 50 мегабайт. CBS.log должен быть скопирован в cbs.persist.log, и должен быть запущен новый файл cbs.log.

Вы можете попробовать сжать файл:

Или, если вы уверены, что ваша система работает нормально, вы можете удалить этот файл. SFC.exe создаст новый файл при следующем запуске. Но это может быть полезно для устранения неполадок.

100 МБ в вашей временной папке. Решение состоит в том, чтобы удалить файл журнала объемом 2 ГБ (это можно безопасно сделать, поскольку они используются только для устранения неполадок).

У меня был файл cbs.persist.log 17 ГБ, так как я был уверен, что это не я заполняю свой ssd, я искал необычные большие файлы в каталоге журналов Windows. В любом случае мог думать только о проблеме сжатия.

Итак, чтобы сбросить сжатие в папке CBS, я использовал следующий метод:

ПРИМЕЧАНИЕ. Очистка папки CBS сбрасывает процесс сжатия, поэтому новые созданные файлы журналов не должны превышать 50 МБ до сжатия в CAB-файлы, как это должно быть.

Прямого визуального результата нет, нужно подождать, пока такой файл журнала не станет достаточно большим.

Это решение все еще работает для меня на Windows 7/8 / 8.1 через 1 год

Надеюсь это поможет.

На всякий случай, если кто-то задается вопросом, почему это происходит в первую очередь. Я считаю, что я воспроизвел особые условия (я уверен, что есть другие варианты этих условий, которые могут вызвать тот же результат):

Кажется, следующий процесс устранил проблему: «отключите службу установщика модуля Windows, удалите содержимое папки C: \ Windows \ Logs \ CBS \ и папки« C: \ Windows \ Temp »- пропустите все используемые файлы, затем снова запустите службу установщика модулей Windows и установите для нее «ручной» запуск (по умолчанию) ». Перезагрузка.

Обратите внимание, что запуск может занять несколько минут. Похоже, что служба автоматически останавливается после завершения работы.

100 МБ в вашей временной папке. Решение состоит в том, чтобы удалить файл журнала объемом 2 ГБ (это можно безопасно сделать, поскольку они используются только для устранения неполадок). Большое спасибо SamB за публикацию, вы достигли первопричины этой проблемы. Я на Windows 7 SP1 64-разрядная. Я не могу поверить, что Microsoft еще не исправила это.

Источник

«Неуловимый» список установленных обновлений Windows

Вы когда-нибудь задумывались, с помощью чего формируется список установленных обновлений Windows? А через какое API его достать? Ответы на эти и другие возникающие вопросы я постараюсь дать в своём небольшом исследовании.

Предыстория или с чего всё началось.

В нашей компании каждый год проходит конференция молодых специалистов, где каждый участник может решить проблему какого-либо отдела (список тем заранее предлагается).

Раньше на каждое «ТО» с помощью WSUS подтягивались все выпущенные обновления и распространялись на все машины. Также периодически выходили ТСБ (технические сервисные бюллетени), в которых указывалось, что требуется установить необходимые обновления в виде изолированных пакетов. В итоге у нас накапливаются обновления, которые в WSUS отследить нельзя, а можно было увидеть только через панель управления в разделе «Установленные обновления».

Бывают ситуации, когда АРМ или сервер «падает» и приходится его восстанавливать из образа, созданного некоторое время назад. При восстановлении из образа есть вероятность того, что мы можем потерять нужные нам обновления (которые пришли в виде изолированных пакетов), которые устанавливались до падения машины. Объяснил максимально подробно насколько мог, потому что уточнения будут уже коммерческой тайной.

Вот поэтому и возникла идея создать программу, которая бы могла извлечь этот список обновлений (желательно удаленно по локальной сети), записать в файл/базу, сравнить текущий перечень с неким шаблоном и выдать сообщение на SCADA систему через один из протоколов — SNMP, OPC.

Как вы могли догадаться из названия статьи, уже на выборе метода получения списка у меня возникла непростая задача. Я, как обычно, решил поискать нужное в поисковике, задал вопросы на профильных ресурсах (раз, два, на английском stackoverflow почему-то не понравился мой вопрос и его пришлось удалить), но все ответы не давали нужного результата. Поэтому пришлось разбираться самому, о чем и пойдет речь далее.

Консольные команды

Начнем с простого и воспользуемся тем, что предлагает нам Windows без использования сторонних средств. Это можно сделать с помощью следующих команд:

Вывод консольной команды можно перенаправить в файл и дальше начать его парсить, но это неправильно, плюс вызов программы (по правилам СБ не пройдет) и об удаленном получении списка речь не идёт. Поэтому предлагаю вам просто вызвать команды, сравнить количество обновлений в каждом списке, со списком через Панель управления и продолжить наше расследование дальше.

Формально все методы получения списка обновлений можно разделить на две группы: локальные и сетевые.

Все методы проверялись на чистых образах систем (Windows 7, 8, Server 2012 R2) с интегрированными обновлениями, после каждого обновления через Центр обновления с официальных серверов Microsoft проводилась дополнительная проверка. Остановимся на каждом из них подробнее.

Примечание: далее для своего удобства все результаты я буду вставлять в List. Это, возможно, не рационально, но тогда мне это казалось хорошей идеей.

Есть и вторая вариация этого метода: Update Session — получение информации с помощью подключения к сессии обновления Windows Update Agent (в данном случае работаем не напрямую с библиотекой).

Microsoft подсказывает об удаленном использовании API.

Главный минусы этих двух методов — не позволяют найти исправления KB, которые не распространяются через Центр обновления Windows. Можно увидеть только то, что прошло через сам агент обновления, то есть данный вариант нас не устраивает.

Система обслуживания образов развертывания и управления ими (Deployment Image Servicing and Management) — это средство командной строки, которое может использоваться для обслуживания образа Windows или для подготовки образа среды предустановки Windows (Windows PE). Является заменой диспетчера пакетов (Pkgmgr.exe), PEimg и Intlcfg.

Данная утилита используется для интеграции обновлений, сервис паков в образ системы. Обновления Windows представляют собой отдельные модули, которые могут быть представлены в нескольких вариантах:

Количество обновлений совпадало с количеством из списка Панели управления до первого апдейта через центр управления — после него количество обновлений стало меньше (было 214, стало 209), хотя по логике они должны были увеличиться. Примеры вывода До обновления, После обновления.

С чем это связано я могу только предполагать — возможно, какие-то обновления замещали предыдущие, следовательно, и количество стало меньше.

Чуть позже я наткнулся на утилиту от китайцев DISM++, которая основана не на DISM API или DISM Core API, но имеющиеся в ней библиотеки не имеют нужных мне открытых методов, поэтому я забросил эту идею и продолжил поиски дальше.

Windows Server Update Services (WSUS) — сервер обновлений операционных систем и продуктов Microsoft. Сервер обновлений синхронизируется с сайтом Microsoft, скачивая обновления, которые могут быть распространены внутри корпоративной локальной сети. Опять же специальный инструмент, предназначенный для работы с обновлениями.

Распространяется только на серверных редакциях ОС Windows, поэтому был развернут следующий стенд:

Чтобы не выделять раздел жесткого диска для новой системы я пользуюсь WinNTSetup и устанавливаю систему в VHD диски — загрузчик, начиная с Windows 7 (редакций Professional/Ultimate), прекрасно справляется с загрузкой с образа диска. Полученные таким образом диски можно спокойно использовать и в Hyper-V — убиваете сразу двоих зайцев. Не забудьте только сделать заранее копию хранилища BCD через команду bcdedit /export e:\bcd_backup.bcd.

Настраивать AD для рассылки обновлений я не захотел, поэтому просто прописал в групповых политиках путь к WSUS серверу:

Обязательно уделите внимание на порт, я из-за опечатки (8350 вместо 8530) не мог получить обновления на клиентских машинах, хотя сделано было всё верно. Так же названия пунктов в групповых политиках на Windows 7 и Windows 8 различаются.

Для получения отчета средствами WSUS необходимо дополнительно установить пакет — система уведомит вас об этом.

Так как интернета нет, то ситуация с обновлениями выходит как на скриншоте ниже:

Поведение похоже на WUApi — если обновления не прошли через них, то они не знают об этом. Поэтому данный метод снова не подходит.

Windows Management Instrumentation (WMI) в дословном переводе — инструментарий управления Windows.

WMI — реализованный корпорацией Майкрософт стандарт управления предприятием через Интернет для централизованного администрирования и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. WMI является открытой унифицированной системой интерфейсов доступа к любым параметрам операционной системы, устройствам и приложениям, которые функционируют в ней.

Данный метод позволяет получить данные как с локальной машины, так и удаленно в пределах локальной сети. Для обращения к объектам WMI используется специфический язык запросов WMI Query Language (WQL), который является одной из разновидностей SQL. Получать список мы будем через WMI класс win32_quickfixengineering.

Количественно всё совпадает (даже после обновлений), поэтому было решено использовать этот метод. Для программного создания WMI запросов советую использовать следующую утилиту — WMI Delphi Code Creator. Благодаря ей я немного по другому взглянул на свой код и решил использовать заготовку из этой программы.

Полученные данные методом WMI меня не остановили, и я решился на „поверхностный реверс-инжиниринг“. Воспользуемся утилитой Process Monitor из сборника программ Sysinternals Suite для выявления файлов и ветвей реестра, которые используются при вызове выше перечисленных консольных команд и обращению к пункту „Установленные обновления“ через Панель управления.

Моё внимание привлек файл wuindex.xml, расположенный в папке C:\Windows\servicing\Packages\. Для его анализа была написана следующая программа:

К сожалению, данный файл встречается не на всех системах и принцип его генерирования и обновления остался для меня загадкой. Поэтому снова данный метод нам не подходит.

Вот мы подошли к тому, с чем связаны все эти методы. Продолжая анализ логов Process Monitor я выявил следующие папки и файлы.

Файл DataStore.edb, расположенный в папке C:\Windows\SoftwareDistribution\DataStore. Это база данных, в которой содержится история всех обновлений установленной версии Windows, включая те обновления, которые только стоят в очереди.

Для анализа файла DataStore.edb использовалась программа ESEDatabaseView. В БД существует таблица tbUpdates, содержимое которой трудно интерпретировать.

После мое внимание привлек процесс TiWorker.exe, который вызывался каждый раз при открытии пункта в Панели управления. Он „ходил“ по многим папкам, одна из которых вывела меня на верный путь.

C:\Windows\SoftwareDistribution — это папка, используемая службой обновления Windows для загрузки обновлений на компьютер с последующей их установкой, а также хранит сведения обо всех ранее установленных обновлениях.

Папка WinSxS, расположенная по адресу C:\Windows\winsxs. Это служебная папка операционной системы Windows служащая для хранения ранее установленных версий системных компонентов. Благодаря ее наличию существует возможность отката к более старой версии обновления в случае необходимости.

C:\Windows\servicing — основная составляющая всей системы, имя которой Component-Based Servicing (CBS).

CBS — обслуживание на основе компонентов, составляющая Windows, интегрированная с службой Windows Update. В противоположность обслуживанию на основе файлов File-Based Servicing (FBS) (для ОС, предшествующих Windows Vista), в котором файлы обновлялись прямо в системных директориях, в CBS появилась целая иерархия директорий и целое семейство (стек) модулей/библиотек обслуживания.

CbsApi.dll — основная библиотека поддержки технологии CBS. Не имеет открытых методов, поэтому напрямую использовать её я не смог. Microsoft использует TrustedInstaller.exe и TiWorker.exe для доступа к методам данной библиотеки и уже через эти процессы выводит нужные нам данные. ‪Записи ведутся в C:\Windows\Logs\CBS\CBS.log.

На момент создания прототипа программы (на скриншотах можете увидеть май 2019) русскоязычной информации о CBS не было, но в конце августа нашлась очень хорошая статья в блоге — http://datadump.ru/component-based-servicing. Очень интересная статья, которая подтвердила мой опыт и собрала в себе нужную информацию. И ещё по теме: http://www.outsidethebox.ms/17988/

Вывод

Microsoft слишком усложнила тривиальную задачу по получению списка обновлений и сделала этот процесс не совсем явным. Всё это сделано для безопасности, но не для простоты использования. Соглашусь с автором статьи — в получении обновлений стали отсутствовать предсказуемость и прозрачность.

В результате исследования была написана следующая программа, демонстрацию работы которой можно увидеть в данном видео:

Источник

Прочее Как правильно анализировать cbs.log и результаты проверки sfc /scannow

Кирилл

Начну с небольшого определения:
Что такое cbs.log?

Файл-лог журнала обслуживания windows, который содержит подробные сведения об ошибках автономного обслуживания, подробные сведения об ошибках интерактивного обслуживания, а так же как вспомогательный элемент для dism.exe

Не вдаваясь в тонкости осмысливания написанного ( определение взято отсюда ) сообщу следующее:

Многим из нас знакома программа sfc.exe, с помощь которой можно проверить состояние целостности защищенных системных файлов.
(Обсуждение в этой теме: Обзор утилиты sfc.exe )
Результат ее работы будет отражен как раз так же в этом логе.
Но, для большинства пользователей, анализ результата проверки остается трудновыполнимой задачей.

Хорошо, если система рапортует о том, что защита ресурсов wiindows не обнаружила поврежденных файлов или что все поврежденные файлы восстановлены.
А что делать, если мы видим что то вроде такого сообщения?

Но, как показала практика, этот метод подходит лишь для того, что бы понять были повреждены защищенные системные файлы или нет.
Как оказалось, иногда, в случае выявления проблем или когда необходимо увидеть какие операции производились, то полученной таким методом информации оказывается недостаточно для того, отразить полноценную куартину.

Как быть?
Для более комфортного первоначального анализа мы с коллегами создали такой скрипт:
Проверка целостности системных файлов утилитой sfc

Запустив скрипт вы сможете произвести проверку целостности системных файлов, произвести очистку и восстановление хранилища данных windows, в котором хранятся резервные копии защищенных системных файлов windows.
Из этих копий и производится восстановление поврежденных файлов.
Скрипт выводит аналогичный, но чуть более информативный лог + копирует в каталог запуска скрипта сам файл cbs.log.
А так же очищает старые записи, что немного экономит место на диске и спасает от зависаний компьютера ( при определенных условиях) при попытке открыть cbs.log. Да и читать будет удобнее и меньше.
Это связано с тем, что порой размер файла cbs.log может раздуваться и я видел монстров по 40 с лишним мегабайт. в общем, скрипт его «облегчает» до оптимального объема.
Идем дальше.
Пробуем читать cbs.log.

При обнаружении поврежденных защищенных системных файлов SR пытается их восстановить из хранилища данных.
Само хранилище данных находится по адресу:

Напомню, что лог cbs.log находится по такому пути:

Делается это просто: открываем поиск (кнопка в виде бинокля), вводим в строку поиска [SR], далее нажимаем кнопку «Найти все в текущем документе» и получаем в нижней области программы все строки найденные по нужному фильтру, а в вверхней области основной текст файла cbs.log, как видно на скриншоте:

Это позволит вам видеть проблемные места (нижняя область) и одновременно смотреть сопутсвующую информацию по ним в основном логе (верхняя область).
Ну как, все получилось?

Далее в нижней области, где отфильтрованы строки с тегом [SR] пропускаем все что выглядит примерно так:

Все, сейчас мы нашли то, что надо.
Если вбить в переводчик то, что написано раздельным текстом, то можно вполне понять что не так.
На примере данной строки давайте и разберемся.

Это был пример на живом логе реальной системы.

Так же файл, считающийся системой защиты поврежденным может не запуститься или работать некорректно.
Он может некорректно взаимодействовать и с другими компонентами операционной системы или прочим программным обеспечением.

Как еще можно восстановить поврежденные файлы?

Для Windows 7 команда будет выглядеть немного иначе, а так же потребуется наличие установленного Download Обновление для Windows 7 (KB2966583) from Official Microsoft Download Center

DISM /Online /Cleanup-Image /ScanHealth

В обоих случаях интернет должен быть подключен.
После того, как хранилище компонентов будет восстановлено, попробуйте снова выполнить проверку sfc /scannow
Как правило этой операции бывает достаточно.

Итак, теперь общее понимание у нас имеется, далее просто будем собирать типовые примеры записей лога cbs.log и методы исправления проблем.

Там мы увидим информацию о версии системы, разрядности, установленных патчах и другие вещи.
Нас в логе интересует блок

Источник

Файл CBS.log содержит записи, которые некоторые файлы не восстанавливаются даже после успешного запуска утилиты SFC на компьютере Windows Server

В этой статье описывается проблема, из-за которой файл CBS.log записи записей при статических изменениях файла. Так как статичный файл не защищен функцией защиты Windows ресурсов, функция сообщает об изменении файла CBS.log.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 954402

Симптомы

Для проверки изменений Windows системных файлов на компьютере на Windows Server 2008 вы запустите утилиту System File Checker (SFC) (Sfc.exe). При запуске утилиты SFC вы можете получить следующее сообщение:

Все файлы и ключи реестра, перечисленные в этой транзакции, успешно восстановлены.

Однако при просмотре файла %windir%\Logs\CBS\CBS.log, который создает программа Sfc.exe, можно увидеть следующие записи:

, Информация CSI 00000142 [SR] Ремонт 1 компонентов
, Информация CSI 00000143 [SR] Начало проверки и ремонта транзакции
, Информация CSI 00000145 [SR] Не может восстановить файл члена [l:18 <9>]»img11.jpg» Microsoft-Windows-Shell-Wallpaper-Common, Версия = 6.0.5720.0, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = , Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
, Информация CSI 00000147 [SR] Не может восстановить файл члена [l:18 <9>]img11.jpg» Microsoft-Windows-Shell-Wallpaper-Common, Версия = 6.0.5720.0, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = , Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatchch
, Информация CSI 00000149 [SR] Ремонт завершен
, Info CSI 0000014a [SR] Совершение транзакции
, Info CSI 0000014e [SR] Проверка и ремонт транзакции завершена. Все файлы и ключи реестра, перечисленные в этой транзакции, успешно восстановлены

Причина

Статические и мутируемые файлы — это два типа файлов, определенных в системе. Статические файлы не могут быть изменены. Мутируемые файлы можно изменить. Файлы реестра и файлы журналов являются примерами мутируемых файлов. Функция Windows ресурсов (WRP) не сканирует мутируемые файлы. Функция WRP сканирует статические файлы при сканировании компьютера утилитой SFC. Функция WRP помогает защитить большинство статических файлов. Однако в этом случае функция WRP не защищает Img11.jpg статического файла. Если статичный файл изменяется, когда функция WRP сканирует файл, это изменение регистрируется в файле CBS.log. Так как функция WRP не защищает статичный файл Img11.jpg, у функции WRP нет другого выбора, кроме как сообщить об изменении в файле CBS.log.

Дополнительная информация

Программа Sfc.exe записывает сведения о каждой операции проверки и каждой операции восстановления в файл CBS.log. Каждая SFC.exe в файле CBS.log имеет тег [SR].

Служба Windows модулей также пишет в файл CBS.log. Служба Windows модулей устанавливает необязательные функции, обновления и пакеты служб.

Вы можете искать теги [SR], чтобы помочь найти SFC.exe записей программы. Чтобы найти теги [SR] и перенаправить результаты поиска в текстовый файл, выполните следующие действия:

Нажмите кнопку Начните, введите cmd в поле Начните поиск, щелкните правой кнопкой мыши cmd в списке Программ, а затем нажмите кнопку Выполнить в качестве администратора.

Если вам предложен пароль администратора или подтверждение, введите пароль или нажмите кнопку Продолжить.

В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

Файл Sfcdetails.txt включает записи, которые регистрируются каждый раз, SFC.exe программа выполняется на компьютере.

Введите выход и нажмите кнопку ENTER, чтобы закрыть окно Командная подсказка.

Источник