Microsoft windows kernel event tracing

How to Fix Kernel Event Tracing Error on Windows

When using a Windows computer, encountering errors can be frustrating, especially when those errors compromise system performance or stability. One such issue that has confounded users is the Kernel Event Tracing error. This error is often associated with problems in the operating system, impacting system logs and performance metrics crucial for diagnostics and troubleshooting. In this article, we’ll explore the causes of Kernel Event Tracing errors, symptoms to watch for, and comprehensive solutions to fix these issues on your Windows system.

Understanding Kernel Event Tracing

Kernel Event Tracing is a feature built into Windows that enables the logging of system events, aiding in performance tuning, diagnostics, and system analysis. It involves tracking events at the kernel level, providing in-depth insights into various operations, and assisting developers and IT admins in pinpointing where issues may arise. Nevertheless, when the Kernel Event Tracing feature malfunctions, it can lead to an unstable system and unpredictable behavior.

Common Causes of Kernel Event Tracing Errors

Before diving into the solutions, it’s essential to understand some common causes of Kernel Event Tracing errors. This knowledge can help in identifying whether your problem is related to one or more of the following:

1. Corrupted System Files: Over time, system files can become corrupt due to improper shutdowns, malware, or software conflicts.

2. Conflicting Software: Certain applications, especially those that modify system operations or manage resources, can trigger Kernel Event Tracing errors.

3. Driver Issues: Outdated or incompatible drivers can lead to system instability and errors concerning event tracing.

4. Disk Errors: Bad sectors on a hard drive can prevent the operating system from accessing the required files correctly.

5. Insufficient System Resources: Low disk space or RAM can lead to various system errors, including Kernel Event Tracing issues.

6. Windows Updates: Sometimes, a recently installed update can cause system conflicts that lead to tracing errors.

Symptoms of Kernel Event Tracing Errors

Identifying Kernel Event Tracing errors requires awareness of certain symptoms you may encounter. Here are some common manifestations that indicate a possible kernel tracing issue:

• Blue Screen of Death (BSOD): The kernel tracing issue may cause your system to crash, resulting in a BSOD with an error code related to event tracing.

• System Performance Deterioration: Slow performance, freezing applications, or lagging responses can signify underlying kernel event tracing problems.

• Inaccurate Event Logs: Logs may show inconsistencies or missing events, impairing your ability to diagnose other system issues effectively.

• Application Crashes: Programs, especially those that rely heavily on system resources, may crash unexpectedly.

Comprehensive Solutions to Fix Kernel Event Tracing Errors

Now that we understand the nature, common causes, and symptoms of Kernel Event Tracing errors, let’s delve into the solutions. Follow these detailed steps to troubleshoot and resolve the issue.

1. Run System File Checker (SFC)

One of the primary tools Windows offers for resolving corrupted files is the System File Checker (SFC). This command-line utility scans for integrity violations and attempts to repair any corrupted system files.

Steps to Run SFC:

• Press Windows + X and select «Windows Terminal (Admin)» or «Command Prompt (Admin).»
• Type the command: sfc /scannow
• Press Enter and wait. The process can take up to 30 minutes.
• Once completed, restart your computer and check if the Kernel Event Tracing error persists.

2. Use Deployment Imaging Service and Management Tool (DISM)

If SFC identifies issues it cannot fix, DISM can help. This tool is useful for repairing Windows system images and related issues.

Steps to Run DISM:

• Open the Command Prompt as noted in the previous step.
• Enter the command: DISM /Online /Cleanup-Image /RestoreHealth
• Press Enter and allow the tool to complete its process.
• Once finished, reboot your system and observe if the error remains.

3. Check for Driver Updates

Outdated, corrupt, or incompatible drivers can severely impact system functionality. Keeping your drivers updated can prevent tracing errors.

Steps to Update Drivers:

• Right-click the Start button and select «Device Manager.»
• Expand categories and look for devices with a yellow exclamation mark.
• Right-click on any device needing an update and select «Update driver.»
• Choose «Search automatically for updated driver software.»
• Follow on-screen instructions to complete the updates.
• Restart your PC after all updates are completed.

4. Scan for Malware

Malware can interfere with system operations, including kernel event tracing. Performing a thorough scan will help determine if malicious software is causing the issue.

Steps to Scan for Malware:

• Open Windows Security by clicking the start menu and searching «Windows Security.»
• Go to «Virus & threat protection.»
• Click on «Quick scan» or «Scan options» to perform a full system scan.
• Quarantine or remove any threats detected and restart your computer.

5. Check Disk for Errors

Corruption on your hard drive can lead to a host of problems including kernel event tracing errors. Use the Check Disk utility to scan and fix errors.

Steps to Check Disk:

• Open Command Prompt as Administrator.
• Type the command: chkdsk C: /f /r (Replace «C» with the appropriate drive letter if needed.)
• Press Enter and confirm you want to schedule it for the next system restart if prompted.
• Restart your computer to initiate the disk check and allow it to complete.

6. Free Up Disk Space

A full hard disk can negatively impact system performance and result in errors. Removing unnecessary files can help alleviate pressure on your system.

Steps to Free Up Disk Space:

• Open “Settings” by pressing Windows + I.
• Navigate to “System” and then “Storage.”
• Review what’s taking up space and consider deleting temporary files, uninstalling unused applications, and removing any large files you no longer need.
• Use the built-in Disk Cleanup tool by searching for «Disk Cleanup» in the Start menu.

7. Disable or Uninstall Conflicting Software

Certain third-party applications may conflict with Windows’ built-in functions. If you’ve recently installed software before encountering Kernel Event Tracing errors, consider disabling or uninstalling it.

Steps to Disable/Uninstall Software:

• Press Windows + I to open Settings.
• Click on “Apps” and navigate to “Apps & features.”
• Locate suspicious or recently installed applications.
• Click on the application and select «Uninstall.»
• Restart your system after uninstalling any software to check if the problem is resolved.

8. Reset Windows

If all else fails and the Kernel Event Tracing error continues to persist, resetting Windows could be the ultimate fix. Keep in mind this should be a last resort, as it will remove installed apps but enables you to keep your personal files.

Steps to Reset Windows:

• Navigate to Settings by pressing Windows + I.
• Click on “System” and then “Recovery.”
• Under «Reset this PC,» click on “Get started.”
• Choose whether to keep your files or remove everything based on your preference and follow the prompts to complete the reset.

Conclusion

Kernel Event Tracing errors can be quite daunting, impacting the effectiveness and stability of your Windows operating system. Understanding the nature and symptoms of these errors empowers users to troubleshoot effectively. By employing the steps outlined above, ranging from file scanning tools like SFC and DISM to more drastic measures like a system reset, users can resolve these errors and restore their system’s functionality.

While dealing with kernel event tracing issues can be intricate, a proactive approach to maintaining your operating system—including regular updates and malware scans—can significantly mitigate future risks. Whether you’re a seasoned tech enthusiast or a casual user, these strategies will help ensure a robust and error-free experience on your Windows machine.

Время на прочтение10 мин

Количество просмотров23K

Добрый день. Недавно мне необходимо было разобраться со службой трассировки Windows. Эта служба появилась еще в Windows 2000, однако статей по этой службе в интернете оказалось крайне мало.Так появилась идея написания этой статьи. Итак, начнем!

Сегодня я попытаюсь рассказать про:

1. Теоретические основы службы трассировки Windows
2. Создание своей сессии ETW
3. Использование event tracing API для работы с ETW
4. Использование tracerpt и xperf для работы с ETW

Теоретические основы службы трассировки Windows

Event Tracing for Windows (ETW) — это служба, которая позволяет получать события от одного или нескольких поставщиков событий в режиме реального времени или из файла *.etl за некоторый временной период. Не понятно? Сейчас разберемся!

Для того, чтобы понять принцип работы ETW, необходимо разобраться со структурой этой службы

Архитектура ETW включает в себя 4 элемента

1. поставщики событий (providers)
2. потребители событий (consumers)
3. контроллеры ETW (controllers)
4. сессии ETW (event tracing sessions)

Принцип работы состоит в следующем.

В системе зарегистрировано некоторое число поставщиков событий, т.е. приложений, которые могут делиться своими событиями с сессиями ETW. Так же в этой системе есть некоторое число активных сессий ETW, которые могут потреблять события от одного или нескольких поставщиков и предоставлять их пользователю либо в режиме реального времени, либо записывать все события от поставщиков в файл логирования (*.etl). И управляют всем этим движением контроллеры.

А теперь рассмотрим каждый элемент рассмотренной выше архитектуры подробнее, чтобы окончательно разобраться с принципом работы!

Поставщики событий (providers)

Поставщики событий — это приложения, содержащие инструменты отслеживания событий. После того, как поставщик зарегистрировался, контроллер может включить или отключить отслеживание событий в поставщике. Поставщик определяет свою интерпретацию включения или выключения. Как правило, включенный поставщик генерирует события, а отключенный поставщик нет. Это позволяет добавлять отслеживание событий в наше приложение, не требуя, чтобы оно генерировало события все время.

Один поставщик может делиться своими событиями сразу с несколькими сессиями ETW.

Каждое событие состоит из двух элементов: заголовка и данных! Заголовок события включает информацию о событии: идентификатор провайдера, идентификатор события, временную метку и т.д. Остальные данные определяются конкретным провайдером: ETW принимает любые данные и записывает их в буфер, а их интерпретация возлагается на потребителей информации.
Существует четыре основных типа провайдеров:

поставщики MOF (классические)
провайдеры WPP
провайдеры на основе манифеста
провайдеры TraceLogging.

Поставщики событий различаются по типам полей, которые они хранят в полезных нагрузках событий.

С поставщиками событий вроде разобрались. Идем дальше!

Контроллеры

Контроллер — это приложение, которое отвечает за функционирование одной или нескольких сессий ETW. Именно контроллер определяет размер и местоположение файла журнала, запускает и останавливает сеансы трассировки событий (сессии ETW), позволяют поставщикам регистрировать события в сеансе. Как уже было сказано ранее, именно контроллер разрешает провайдеру делиться своими событиями!

Потребители

Потребители — это приложения, которые получают и обрабатывают события от одного или нескольких сеансов трассировки одновременно. Потребители могут получать события, хранящиеся в файлах журналов или из сеансов, которые доставляют события в режиме реального времени. Как мы уже знаем, у одной сессии ETW может быть несколько поставщиков. Возникает вопрос: а не будет ли путаницы? Как события из различных сессий ETW будут располагаться друг относительно друга? События сортируются по времени их появления, т.е. система доставляет события в хронологическом порядке!

Сессии ETW

Сеансы отслеживания событий (сессии ETW) записывают события от одного или нескольких провайдеров, которые разрешает контроллер. Сессия также отвечает за управление и очистку буферов.

Трассировка событий поддерживает до 64 сеансов трассировки событий, выполняющихся одновременно. Из этих сессий есть две сессии специального назначения. Остальные сеансы доступны для общего пользования. Две сессии специального назначения:

• Global Logger Session
• NT Kernel Logger Session

Сеанс трассировки событий Global Logger записывает события, которые происходят в начале процесса загрузки операционной системы, например, генерируемые драйверами устройств.
Сеанс трассировки событий NT Kernel Logger записывает заранее определенные системные события, сгенерированные операционной системой, например, события дискового ввода-вывода или сбоя страницы.

Итак, а теперь переходим к практике!!!

Создание своей сессии ETW

Перед началом работы нам потребуется знание нескольких утилит, а именно:

список провайдеров, доступных на конкретной ОС

logman query providers

получить полную информацию о провайдере

wevtutil gp <имя провайдера> /ge /gm

список всех активный сессий ETW

xperf -loggers

Так же, для просмотра файлов, желательно иметь Notepad++.

Просмотрев список провайдеров на своем компьютере (а их более 1000 на Windows 10), выберем один из них для нашей сессии:

Картинка с сайта: habr.com

Я выбрал Microsoft-Windows-WinINet (эта служба записывает все наши действия при работе в браузере Microsoft Edge).

1. Win+R -> compmgmt.msc
2. «Performance» («Производительность»)
3. «Data Collector Sets» («Группы сборщиков данных»)
4. «Event Trace Sessions» («Сеансы отслеживания событий»)
5. «New» («Создать»)
6. «Data Collector Set» («Группа сборщиков данных)
7. Указываем имя сборщика данных
8. „Create manually (Advanced)“ (»Создать вручную (для опытных)»)

Картинка с сайта: habr.com

9. Добавляем интересующие нас провайдеры в сессию
10. Указываем интересующие нас ключевые слова в поле «Keywords(Any)» («Ключевые слова(Любые)») — 0xFFFFFFFFFFFFFFFF
11. Указываем уровень логирования 0xFF
=

Картинка с сайта: habr.com

12. Выбираем путь, по которому будет сохраняться файл журнала сессии
13. Выбираем флажок «Start this data collector set now» («Запустить группу сборщиков данных сейчас»)

Теперь созданная нами сессия работает. Необходимо поработать некоторое время в Microsoft Edge, чтобы сессия собрала о нас информацию!

После того, как прошло некоторое время переходим в место, куда мы сохранили файл логирования. Там выполняем следующую команду.

tracerpt "моя группа сборщиков данных.etl" -o -report -summary -lr

После выполнения этой команды сформируется 4 файла.

Картинка с сайта: habr.com

Нас в данный момент будет интересовать dumpfile.xml. Открывать этот файл можно либо через notepad++, можно также сделать это в Excel.

Внимательно изучив этот файл, можно заметить, что данная сессия собрала почти всю информацию о нашем перемещении в сети интернет!!! Более подробно об этом можно почитать здесь Изучаем ETW и извлекаем профиты.

Ну что же, а мы движемся дальше. Только что мы создали сессию с единственным поставщиком событий. Получили данные сессии из файла логирования. Пришло время кодить!

Использование event tracing API для работы с ETW

На хабре есть интересная статья, Самый худший из когда-либо созданных API.

В этой статье Вы найдете ответы на многие вопросы, которые у вас скорее всего возникнут при написании приложений!

Кодить будем на C++.

Начнем с самого простого.

Настройка и запуск сеанса отслеживания событий

Для начала рассмотрим общую идею.

Чтобы запустить сеанс трассировки необходимо:

1) Задать структуру EVENT_TRACE_PROPERTIES

2) Запустить сеанс с помощью StartTrace
Далее необходимо включить поставщиков событий

3) Включаем поставщиков с помощью EnableTrace | EnableTraceEx | EnableTraceEx2
Чтобы остановить сеанс трассировки необходимо:

4) Перед остановкой сеанса трассировки необходимо отключить провайдеров с помощью EnableTrace | EnableTraceEx | EnableTraceEx2, передав EVENT_CONTROL_CODE_DISABLE_PROVIDER

5) Вызвать функцию ControlTrace и передать ей EVENT_TRACE_CONTROL_STOP

В приведенном ниже примере я создаю сессию с именем MyEventTraceSession. Файл журнала логирования находится в текущей директории и называется WriteThePuth.etl

Поставщиком событий является Microsoft-Windows-Kernel-Process. Его GUID Вы можете узнать с помощью

wevtutil gp Microsoft-Windows-Kernel-Process /ge /gm

Непосредственно код:

#include <windows.h>
#include <stdio.h>
#include <conio.h>
#include <strsafe.h>
#include <wmistr.h>
#include <evntrace.h>
#include <iostream>
#define LOGFILE_PATH L"WriteThePuth.etl"
#define LOGSESSION_NAME L"MyEventTraceSession"


// GUID, который идентифицирует ваш сеанс трассировки.
// Не забудьте создать свой собственный GUID сеанса.

// {AE44CB98-BD11-4069-8093-770EC9258A12}
static const GUID SessionGuid =
{ 0xae44cb98, 0xbd11, 0x4069, { 0x80, 0x93, 0x77, 0xe, 0xc9, 0x25, 0x8a, 0x12 } };


// GUID, который определяет провайдера, который вы хотите
// включить в вашу сессию.

//{22FB2CD6-0E7B-422B-A0C7-2FAD1FD0E716} Microsoft-Windows-Kernel-Process
static const GUID ProviderGuid =
{ 0xd22FB2CD6, 0x0E7B, 0x422B, {0xA0, 0xC7, 0x2F, 0xAD, 0x1F, 0xD0, 0xE7, 0x16 } };

void wmain(void)
{
    setlocale(LC_ALL, "ru");
    ULONG status = ERROR_SUCCESS;
    TRACEHANDLE SessionHandle = 0;
    EVENT_TRACE_PROPERTIES* pSessionProperties = NULL;
    ULONG BufferSize = 0;
    BOOL TraceOn = TRUE;

    
    BufferSize = sizeof(EVENT_TRACE_PROPERTIES) + sizeof(LOGFILE_PATH) + sizeof(LOGSESSION_NAME);
    pSessionProperties = (EVENT_TRACE_PROPERTIES*)malloc(BufferSize);
    if (NULL == pSessionProperties)
    {
        wprintf(L"Unable to allocate %d bytes for properties structure.\n", BufferSize);
        goto cleanup;
    }

    ZeroMemory(pSessionProperties, BufferSize);
    pSessionProperties->Wnode.BufferSize = BufferSize;
    pSessionProperties->Wnode.Flags = WNODE_FLAG_TRACED_GUID;
    pSessionProperties->Wnode.ClientContext = 1; //QPC clock resolution
    pSessionProperties->Wnode.Guid = SessionGuid;
    pSessionProperties->LogFileMode = EVENT_TRACE_FILE_MODE_SEQUENTIAL;
    pSessionProperties->MaximumFileSize = 1024;  // 1024 MB
    pSessionProperties->LoggerNameOffset = sizeof(EVENT_TRACE_PROPERTIES);
    pSessionProperties->LogFileNameOffset = sizeof(EVENT_TRACE_PROPERTIES) + sizeof(LOGSESSION_NAME);
    StringCbCopy((LPWSTR)((char*)pSessionProperties + pSessionProperties->LogFileNameOffset), sizeof(LOGFILE_PATH), LOGFILE_PATH);
    

    status = StartTrace((PTRACEHANDLE)&SessionHandle, LOGSESSION_NAME, pSessionProperties);
    if (ERROR_SUCCESS != status)
    {
        wprintf(L"StartTrace() failed with %lu\n", status);
        goto cleanup;
    }

    // Включите провайдеров, которые вы хотите, чтобы записывали события в ваш сеанс.

    status = EnableTraceEx2(
        SessionHandle,
        (LPCGUID)&ProviderGuid,
        EVENT_CONTROL_CODE_ENABLE_PROVIDER,
        TRACE_LEVEL_INFORMATION,
        0,
        0,
        0,
        NULL
        );

    if (ERROR_SUCCESS != status)
    {
        wprintf(L"EnableTrace() failed with %lu\n", status);
        TraceOn = FALSE;
        goto cleanup;
    }

    // Запущено приложение провайдера. Затем нажмите любую клавишу, чтобы остановить сеанс
    wprintf(L"Run the provider application. Then hit any key to stop the session.\n");
    _getch();
   

cleanup:
    if (SessionHandle)
    {
        if (TraceOn)
        {
            status = EnableTraceEx2(
                SessionHandle,
                (LPCGUID)&ProviderGuid,
                EVENT_CONTROL_CODE_DISABLE_PROVIDER,
                TRACE_LEVEL_INFORMATION,
                0,
                0,
                0,
                NULL
                );
        }

        status = ControlTrace(SessionHandle, LOGSESSION_NAME, pSessionProperties, EVENT_TRACE_CONTROL_STOP);

        if (ERROR_SUCCESS != status)
        {
            wprintf(L"ControlTrace(stop) failed with %lu\n", status);
        }
    }

    if (pSessionProperties)
    {
        free(pSessionProperties);
        pSessionProperties = NULL;
    }
}

Разберем приведенную программу более подробно.

1) Задаем структуру EVENT_TRACE_PROPERTIES

Чтобы настроить сеанс трассировки событий, необходимо использовать структуру EVENT_TRACE_PROPERTIES, чтобы указать свойства сеанса. Память, которую вы выделяете для структуры EVENT_TRACE_PROPERTIES, должна быть достаточно большой, чтобы также содержать имена файлов сеансов и журналов, которые следуют за структурой в памяти.

2) Запускаем сеанс с помощью StartTrace

После того, как вы укажете свойства сеанса, вызовите функцию StartTrace, чтобы запустить сеанс. Если функция завершается успешно, параметр SessionHandle будет содержать дескриптор сеанса, а свойство LoggerNameOffset будет содержать смещение имени сеанса.

3) Включаем поставщиков с помощью EnableTrace | EnableTraceEx | EnableTraceEx2

Чтобы включить поставщиков, которым вы хотите разрешить записывать события в свой сеанс, вызовите функцию EnableTrace, чтобы включить классических поставщиков, и функцию EnableTraceEx, чтобы включить поставщиков на основе манифеста. В остальных случаях — EnableTraceEx2.

4) Перед остановкой сеанса трассировки необходимо отключить провайдеров с помощью EnableTrace | EnableTraceEx | EnableTraceEx2, передав EVENT_CONTROL_CODE_DISABLE_PROVIDER

Чтобы остановить сеанс трассировки после сбора событий, вызовите функцию ControlTrace и передайте EVENT_TRACE_CONTROL_STOP в качестве управляющего кода. Чтобы указать сеанс для остановки, вы можете передать дескриптор сеанса трассировки событий, полученный из более раннего вызова функции StartTrace, или имя ранее запущенного сеанса. Обязательно отключите всех провайдеров перед остановкой сеанса. Если вы остановите сеанс перед первым отключением провайдера, ETW отключит провайдера и попытается вызвать контрольную функцию обратного вызова провайдера. Если приложение, запустившее сеанс, завершается без отключения поставщика или вызова функции ControlTrace, поставщик остается включенным.

5) Чтобы остановить сеанс трассировки, вызываем функцию ControlTrace и передаем ей EVENT_TRACE_CONTROL_STOP

Как мы убедились на приведенном выше примере, использование Event Tracing API является не самым простым. В зависимости от того, чем вы занимаетесь, дальше можно заниматься либо написание поставщиков событий, либо написанием потребителей событий. Однако обе эти задачи довольно объемные и в этой статье рассматриваться не будут! Дополнительную сложность создают 4 вида поставщиков событий, и, соответственно, 4 варианта написания событий и 4 варианта их потребления. Очень подробно и хорошо работа с Event Tracing API описана на официальном сайте Microsoft Using Event Tracing

Проработав некоторое время с Event Tracing API у меня появился вопрос: а есть ли утилиты, которые упросят мне жизнь?

Использование tracerpt и xperf для работы с ETW

В этой главе я не буду рассматривать эти утилиты с теоретической точки зрения.

Команду Tracerpt можно использовать для анализа журналов трассировки событий, файлов журналов, созданных монитором производительности, и поставщиков трассировки событий в реальном времени. Он создает файлы дампа, файлы отчетов и схемы отчетов. У этой утилиты большое количество параметров, однако для начала работы подойдет следующий «минимум»

tracerpt "имя 1-ого файла.etl" ... "имя n-ого файла.etl" -o <имя текстового выходного файла> -report <имя текстового выходного файла отчета> -summary<имя текстового файла сводного отчета> 

Утилита xperf.exe является полноценным контроллером. Она поддерживает аргументы командной строки, позволяющие управлять ETW-провайдерами и сессиями. Контроллеры могут запрашивать состояние активных в данный момент сессий и получать списки всех зарегистрированных в системе провайдеров. Например, для получения всех активных сессий следует использовать следующую команду:

C:\>xperf -loggers

а для получения списка всех зарегистрированных в системе провайдеров — команду:

C:\>xperf -providers

Контроллеры обладают еще несколькими ключевыми функциями. Они могут обновлять сессии и сбрасывать содержимое буферов на диск.

На этом пока все!

К сожалению, в данной статье я не затронул некоторое количество интересных вопросов (например, потребление событий в режиме реального времени или работу с сессиями специального назначения).

Об этом можно почитать на следующих сайтах:

Event Tracing — официальная документация Microsoft
Изучаем ETW и извлекаем профиты
Event Tracing for Windows на стороне зла. Но это не точно
Самый худший из когда-либо созданных API

How Can I Resolve “Windows Kernel Event Tracing Error Code: 0XC0000035”?

One often occurring error message associated with kernel event tracing is Error Code 0XC0000035. This instructional guide offers effective methods for maintain and troubleshoot issues with your computer.

A Windows Kernel Event Tracing Error is being indicated by a steady barrage of 0XC0000035 errors in Windows Event Viewer, according to certain Windows users. It has been established that this problem exists in all existing versions of Windows, including Windows 8.1, Windows 11, Windows 10, and Windows 7.

We will talk about the 0XC0000035 error and how to resolve it in this article.

Why Does Windows Give Me “Error Code: 0XC0000035”?

One often occurring error message associated with windows kernel event tracing is Error Code 0XC0000035. This error can be caused by a number of things, but problems with the Windows Kernel Event Log service are the most frequent cause.

Numerous logical explanations for this error were found after extensive investigation. The following is a brief summary of possible causes for 0XC0000035 errors to overflow in your Windows Kernel Event Viewer:

• The Windows session’s Event Tracing is being altered by Perfdiag: Perfdiag uses the ETW session to gather information for performance analysis. Interrupting this session may result in the 0XC0000035 error.
• The Event Trace Session was terminated manually. Users have occasionally reported that manually initiating the Event Trace Session resolved the 0XC0000035 problem.
• Outdated network drivers (Intel): If you are using the network drivers fleet on a Windows computer, the issue is most likely the result of a conflict between a kernel process that is sensitive and the Intel WI-FI driver.
• Incorrect IP range or DNS cache: You should anticipate that this problem will arise under certain circumstances, such as when your DNS cache is tainted or you have been assigned an incorrect IP range.
• Third-party antivirus: 5It turns out that uninstalling the third-party program or turning off real-time protection are the only ways to solve this issue.

These are a few reasons why the error code 0XC0000035 could occur. We will talk about solutions for this issue in the following section.

How Can I Fix Windows “Error Code: 0XC0000035”?

There are several approaches you might take to resolve this issue. Restarting the Windows Event Log service should be your first step. Take these actions to accomplish this:

Step 1: Restart your computer

Restarting your computer should be your first step. By doing this, the Event Log service will be able to reset itself and perhaps resolve the 0XC0000035 problem. Restarting the computer can help resolve many Windows-related issues. Do not forget to start here before attempting more advanced techniques.

Take these actions to restart your computer:

1. To access the Power button, click the Start menu.

2. Select Restart from the menu that drops down.

Картинка с сайта: www.fastsoftwares.com

3. Check to see whether the same issue appears when you launch the Event Viewer after restarting your computer.

Technique 2: Clear DNS and IP Cache

Try clearing your DNS cache and changing your IP address if restarting your computer does not solve the problem. By doing this, any corruptions that might be the source of the 0XC0000035 problem will be fixed. Take these actions to accomplish this:

1. Look for the magnifying glass icon to open the taskbar search bar. Alternatively, you can use the Windows + S keyboard shortcut to open it.

2. Open a search window and type Command Prompt. Select Run as Administrator with a right-click on it when you see it in the results.

Картинка с сайта: www.fastsoftwares.com

3. If the User Account Control (UAC) prompts you to activate the program with administrator access, click Yes; it will allow the app to launch with administrative permissions.

4. Enter the commands listed below, one after the other, using the Enter key on your keyboard: Input the commands below in the exact order, and then click afterwards the Enter key on your keyboard after each line:

• ipconfig /flushdns
• registerdns in ipconfig
• ipconfig /renew
• IPconfig /release

Картинка с сайта: www.fastsoftwares.com

5. Close the prompt that appears.

Step 3: Turn off IPv6

If the issue 0XC0000035 persists, you might be able to resolve it by turning off IPv6. This may be the reason for the 0XC0000035 issue as it interferes with the Event Log service. Take these actions to accomplish this:

1. To access the WinX menu, press the Windows + X keys on your keyboard. From the context menu, select Network Connections.

Картинка с сайта: www.fastsoftwares.com

2. In the left pane, choose the connection type you currently have (Wi-Fi or Ethernet, for example), and then click the Change adapter options button.

Картинка с сайта: www.fastsoftwares.com

3. To access the Properties menu, right-click on the network adapter wherein gives you trouble and choose Properties from the context menu.

Картинка с сайта: www.fastsoftwares.com

4. Once you reach the Internet Protocol Version 6 (TCP/IPv6) choice, scroll down. To make it inactive, click the box once if there is a checkbox next to it. If the box is already empty, your device does not have IPv6 configured. Try an alternate fix for the error. Press OK. 

Картинка с сайта: www.fastsoftwares.com

5. If IPv6 was indeed the specific reason behind your computer showing “Error Code: 0XC0000035,” then this solution should resolve the issue.

Method 4: Turn Off Your Antivirus Briefly

On Windows, antivirus programs are known to cause a variety of issues. Antivirus apps may be the source of false positives, performance problems, and the 0XC0000035 error, among other problems.

You might be able to resolve the 0XC0000035 error if you can turn off your antivirus software for a short while. Try whitelisting the Event Log service in your antivirus settings if that resolves the issue.

Take these actions to accomplish this:

1. To access Task Manager, right-click on a vacant area in your taskbar and select it from the context menu.

Картинка с сайта: www.fastsoftwares.com

2. Utilize the header menu positioned at the top of the window to access the desired functions and options, navigate to the Startup tab. Locate your antivirus program in the list above, then click once to select it.

3. Select the Disable button that is now displayed in the window’s lower-right corner. By doing this, you will prevent the program from opening when your device first boots up.

Картинка с сайта: www.fastsoftwares.com

4. Try restarting your computer to see if the problem still does not appear in Event Viewer when using it.

Step 5: Activate the Superfetch and SysMain Services

It could be possible to resolve the 0XC0000035 problem if you enable the SysMain and Superfetch services. These services have the ability to resolve the 0XC0000035 error and are known to aid with Event Log performance. Take these actions to accomplish this:

1. Using the keyboard, press the Windows + R keys. The Run utility will launch as a result.

2. Enter “services.msc” using the keyboard’s Enter key without putting quotation marks around it. The Services window will open as a result.

Картинка с сайта: www.fastsoftwares.com

3. After you reach the SysMain service, scroll down. From the context menu, select Properties after performing a right-click on it.

Картинка с сайта: www.fastsoftwares.com

4. Continue using the General tab. If the service is not running right now, make sure the Startup type is set to Automatic and then click the Start button beneath the Service status. If you do this, the service will launch on its own whenever your machine boots up.

5. To close the window, click Apply and then OK. To enable the Superfetch service, return to the Services window and follow the same instructions.

Once you have made this change, you ought to be able to observe whether the problem occurs again. Read on to discover an alternative fix if Kernel Event Tracing is still accompanied by “Error Code: 0XC0000035”!

Method 6: Modify the Registry’s Autologg Key

You might be able to resolve the 0XC0000035 error if you continue to receive it by making changes to the autologg key in your registry. There is a known solution for the error code 0XC0000035. Take these actions to accomplish this:

1. The Run dialog box appears when you press the Windows + R keys. Press Ctrl + Shift + Enter after typing “regedit” to launch the Registry Editor with administrator privileges.

Картинка с сайта: www.fastsoftwares.com

2. To access the following Registry key, utilize the left-hand navigation pane of the window or use paste the URL into the address bar:

OperatingSystem\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System{b675ec37-bdb6-4648-bc92-f3fdc74d3ca2}

Картинка с сайта: www.fastsoftwares.com

3. Select Modify from the context menu by performing a right-click on the Enabled registry entry in the right-side pane.

Картинка с сайта: www.fastsoftwares.com

4.  Make sure you set the Base to Hexadecimal and the Value data to 0. When you are done making these adjustments, click OK.

Картинка с сайта: www.fastsoftwares.com

5. Restarting your computer will ensure that the modifications you made to the registry are permanent. Check for any new instances of the 0XC0000035 issue by opening the Event Viewer.

Upgrade Your Intel Drivers Using Method 7

Updating your Intel drivers may help resolve the 0XC0000035 error if you are still seeing it. Among the many issues that outdated drivers might bring about is the 0XC0000035 error.

It is fair to presume that an Intel driver problem is the source of the problem if the Event Viewer error links to one of the following addresses:

• Dll located at C:\Program Files\Intel\WiFi\bin\MurocApi.dll
• Intel\WiFi\UnifiedLogging\C:\Program Files\Intel\WiFi\\ MurocLog.log

The Intel Driver & Support Assistant is the only method that has been shown to work in a confirmed resolution. Take the following actions to make sure you are using the most recent driver version that works with Windows:

1. Open your default browser and go to the Intel Driver & Support Assistant main page.

Картинка с сайта: www.fastsoftwares.com

2. Click the Download All option after the Intel Driver & Support Assistant utility has finished its initial scan. Click the Install All option after the download is finished, then watch as all of the drivers install.

Картинка с сайта: www.fastsoftwares.com

3. Depending on which drivers require updating, installing the drivers could require you to follow an extra set of instructions.

4. After installing all the drivers, give your computer one last restart to see if the issue has been fixed.

Briefly stated

• There are several potential causes of the windows kernel event tracing issue “issue Code: 0XC0000035”, such as out-of-date drivers, a faulty DNS cache, or an unreliable IP range.
• There are several approaches you might take to resolve this issue. Restarting the Windows Kernel  Event Log service should be your first step.
• Try turning off IPv6, clearing your DNS cache, or changing your IP address.
• Changing the autologg key in your registry or temporarily turning off your antivirus software may also help solve the issue.
• You can try updating your Intel drivers if everything else fails.

In summary

On Windows, the “issue Code: 0XC0000035” is a quite frequent issue that has several possible causes. We hope that this post was helpful in solving the issue with your computer.