随着计算机以及互联网技术的飞速发展,计算机和网络正不断地蔓延到人们的工作和日常生活当中,越来越多的人利用计算机和互联网查询资料、网络购物。计算机和互联网在给人们带来便利的同时,也成为了计算机犯罪分子有力的犯罪工具,给整个社会和国家带来了巨大的安全威胁。计算机取证是找出有关的电子证据,并将其提交给法庭的技术和方法,是打击计算机犯罪的重要手段。随着计算机犯罪的增加,计算机取证成为了研究和关注的焦点。日志记录了计算机系统以及应用程序运行过程中的操作,它保存着计算机犯罪分子留下的犯罪“痕迹”,是计算机取证中重要的线索和证据来源。要想把日志作为合法的电子证据交给法庭,有两个重要的问题：首先,要实时地获取产生的日志文件并对日志文件进行保护或者转存。其次,要从大量的日志中,找到能够证明犯罪分子的犯罪“痕迹”,从而将相应的日志文件作为有效的电子证据提交给法庭。针对以上两个问题,采用了两种Windows日志实时获取的方法,这两种方法,能够获取系统中的系统日志以及以文本方式存储的日志文件。在实时获取日志的基础上,提出了将日志文件与原子攻击功能关联的方法,将对日志文件的分析转换成对原子攻击功能的分析,大大地减少了日志文件分析的时间。此外,还提出了一种事件重构的方法,在一定的条件下,能够实现对计算机犯罪场景的还原。最后通过试验,验证了这些方法的可行性。