在互联网时代,随着科学技术的发展和普及以及各种个人新型应用的层出不穷,科技的进步带来的安全问题也越来越受关注,特别是斯诺登事件的发生给全世界的网络安全防护造成了前所未有的冲击和挑战。在传统非虚拟环境中,日志分析功能一般通过主机入侵检测系统HIDS实现,将日志分析的功能集成在HIDS中。HIDS通过检测系统的日志文件,与知识库中入侵规则进行匹配,检测系统中是否有安全事件发生从而达到保障系统安全的目的。但是HIDS为确保检测结果的准确性,必须先确保系统的安全性,所有的检测活动都是在默认系统本身具有合理的安全设置前提下进行；即使系统具有合理的安全设置,攻击者在入侵完成后可以即时将入侵产生的系统日志删除,从而导致入侵行为不被检测到,所以传统的日志分析工具在保证日志数据的实时性、完整性、真实性方面有所欠缺。尽管传统日志分析工具存在一定的缺陷与不足,但是系统日志对于发现入侵问题仍然具有重要价值。系统日志可以记录系统中软硬件运行状况和错误信息,同时还可以实时反映系统中发生的重要事件,用户可以通过分析日志找到入侵者留下的痕迹,来识别错误发生的原因。因此,本论文探索针对虚拟环境的日志分析方法,为新环境下日志分析工具的研发提供借鉴。面对复杂的虚拟环境,传统日志分析工具只能提供给用户单一操作系统或单一应用(比如Web应用)安全事件的分析结果。单一系统的日志分析无法推出整个安全事件的来龙去脉,无法识别出源数据背后隐藏的逻辑关系。论文提出的VMSET日志分析方法可以采集整个虚拟机集群中不同操作系统的日志,归纳抽象为统一的日志格式,进行集中存储,保证了日志数据的完整性和真实性；另外,对集中存储的多主机日志数据进行关联性分析,采用基于规则匹配的分析方法,将采集到的日志数据与知识库中匹配规则进行匹配,从而对入侵路径进行有效的追踪与识别。