摘要： 为解决Windows日志的实时获取问题，针对2种日志文件格式，分别提出了相应的日志实时获取方法。在实时获取日志的基础上，提出了将日志文件与原子攻击功能关联的方法，将对日志文件的分析转换成对原子攻击功能的分析，大大减少了日志文件分析的时间。提出了一种基于时间的日志关联分析和事件重构方法，实现对计算机犯罪场景的还原。实验结果表明，提出的方法可以有效获取日志证据，重构犯罪过程。