计算机取证分析工作中常用到包括密码破译、文件特征分析技术、数据恢复与残留数据分析、日志记录文件分析、相关性分析等技术，其中文件特征包括文件系统特征、文件操作特征、文件格式特征、代码或数据特征等。某单位网站被黑客非法入侵并上传了Webshell，作为安全运维人员应首先从 （22） 入手。

入侵者通过上传Webshell进行非法入侵，作为安全运维人员，应该首先从Web服务日志入手。因为入侵者放置的Webshell可以看成asp、php、jsp等语言编写的木马，这些后门和正常网页混合放置在Web服务器的web目录中，入侵者通过Web访问这些后门时，会在Web服务日志中留下Webshell页面的访问数据和数据提交记录。而其他选项如系统日志、防火墙日志、交换机日志可能与Web服务日志不同步或无法直接反映Webshell的访问情况。因此，正确答案是A。