计算机取证牵涉的数据量庞大，潜在的证据通常分布在多种不同的日志中。从多源日志进行取证，能使证据更为完备，结论更加可靠，同时也带来了复杂度增加的问题，分析和关联这些日志由于需要人脑的大量参与而变得困难和乏味。因此，自动将来自多源日志的安全事件关联成事件场景成为辅助取证的迫切需要。国内外在日志关联技术方面做了大量工作，但总的来说体现出以下几方面问题：(1) 关联时人工参与多，自动化程度不高：(2) 关联结果难以体现事件发生的有序性和逻辑性；(3) 处理的数据源单一，没有从多源日志进行关联。 针对上述问题，本文在结合国内外现有研究成果的基础上，提出了一种融合多源日志辅助取证的事件场景关联方法，并设计和实现了一个基于所提事件场景关联方法的原型系统 PC-ECF。所提方法思想及其实现过程描述如下： 考虑到来自多源日志的相关安全事件不是孤立的，而是具有内在逻辑联系的，本文利用事件“前提/结果”因果关系对安全事件进行场景关联。事件前提是指使事件成功发生所必须满足的条件集合；事件结果是指事件成功发生后必然造成的后果集合。该方法首先对标准的 IDMEF 数据模型进行了扩展，用扩展后的数据模型 Event 对来自多源日志的各类安全事件进行格式化；再凭借专家经验定义出事件“前提/结果”知识库，事件的“前提/结果”知识采用谓词逻辑的形式表示；通过匹配前一事件发生的结果和后一事件发生的前提，将这些事件关联成事件场景；最后关联的结果用本文定义的事件关联图的形式进行可视化。 实验结果表明，利用本文所提事件场景关联方法能自动关联多源日志信息中所蕴涵的部分事件场景，系统能够生成容易理解的可视化事件关联图，对计算机取证起到了较好的辅助作用。