本发明实施例公开了一种基于日志的威胁情报检测方法及装置，方法包括：获取不同文件类型的日志文件，对所述日志文件进行解析，匹配不同威胁指标IOC类型，并将所述不同IOC类型的解析文件添加至检测引擎队列；从所述检测引擎队列中获取目标解析文件，根据所述目标解析文件的IOC类型确定对应的目标查询方式；若根据所述目标查询方式查询到所述目标解析文件中存在威胁情报，则生成威胁告警信息，如包含失陷主机或恶意文件。通过对不同文件类型的日志文件进行解析，并采用对应的失陷检测的查询方式对目标解析文件进行查询，能够同时处理大批量数据，大大提高对海量数据的网络安全检测的检测效率。