8.一種基于多源日志識別用戶行為的裝置，其特征在于，包括：

發送模塊，用于向操作系統發送查詢內核日志的指令；

獲取模塊，用于若接收到所述操作系統反饋的查詢失敗信息，則確定所述操作系統有防護罩，獲取所述操作系統的類型和版本信息；

確定模塊，用于根據所述操作系統的類型和版本信息，確定所述防護罩的打開命令；

查詢模塊，用于基于所述打開命令，控制所述操作系統打開所述防護罩，響應所述操作系統反饋的表示解除防護罩的消息，再次向所述操作系統發送查詢所述操作系統內核日志的指令，得到所述內核日志；

分析模塊，用于獲取操作系統的變化日志，基于所述變化日志和內核日志，確定用戶的操作行為。