基于虚拟桌面基础设施日志的审计取证方法、装置及设备

本申请涉及一种基于虚拟桌面基础设施日志的审计取证方法、装置及设备，所述方法包括：采集虚拟桌面基础设施中的多源日志数据并将其进行处理得到事件序列；基于事件序列构建用户行为图谱，根据预设的行为模板，生成符合行为模板的一个或多个行为链；将行为链输入训练好的风险评估模型中输出风险评估结果；基于行为链的风险评估结果，定位风险达到预定程度的风险节点，以该风险节点为中心，向前和/或向后构建时间窗口，识别在该时间窗口内节点数据以获得取证片段集合；基于取证片段集合申请时间戳认证以获得时间戳证书，将取证片段集合和时间戳证书存储至不可变存储介质中。本申请能够在保障证据完整性的同时显著降低了数据体积与处理成本。