審計(jì)跟蹤（audit trail）是系統(tǒng)活動(dòng)的流水記錄。該記錄按事件從始至終的途徑，順序檢查、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)。審計(jì)跟蹤通過書面方式提供應(yīng)負(fù)責(zé)任人員的活動(dòng)證據(jù)以支持職能的實(shí)現(xiàn)。審計(jì)跟蹤記錄系統(tǒng)活動(dòng)和用戶活動(dòng)。系統(tǒng)活動(dòng)包括操作系統(tǒng)和應(yīng)用程序進(jìn)程的活動(dòng)；用戶活動(dòng)包括用戶在操作系統(tǒng)中和應(yīng)用程序中的活動(dòng)。通過借助適當(dāng)?shù)墓ぞ吆鸵?guī)程，審計(jì)跟蹤可以發(fā)現(xiàn)違反安全策略的活動(dòng)、影響運(yùn)行效率的問題以及程序中的錯(cuò)誤。

審計(jì)跟蹤可以做為對(duì)正常系統(tǒng)操作的一種支持，也可以做為一種保證策略或前兩者兼而有之。做為保證策略，所維護(hù)的審計(jì)跟蹤只在需要時(shí)使用，比如系統(tǒng)中斷。做為對(duì)操作的支持，審計(jì)跟蹤用于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭黑客、內(nèi)部使用者或技術(shù)故障的傷害。

在很大程度上，信息的完整性和機(jī)密性取決于使用人的職能。也就是說，人們必須為他們的行為負(fù)責(zé)。這是一種探測(cè)和威懾機(jī)制。首先應(yīng)該制定一系列行為標(biāo)準(zhǔn)，使用人必須認(rèn)可這些行為標(biāo)準(zhǔn)；還要由較高級(jí)別的管理者對(duì)違反標(biāo)準(zhǔn)的人進(jìn)行處罰。讓用戶知道自己的行為被監(jiān)控也可以阻止?jié)撛诘钠茐恼邔?duì)安全的侵害。用戶職能可以通過策略、授權(quán)方案、識(shí)別和鑒別機(jī)制、訪問控制、審計(jì)跟蹤和審計(jì)實(shí)現(xiàn)。

審計(jì)跟蹤提供了實(shí)現(xiàn)多種安全相關(guān)目標(biāo)的一種方法，這些目標(biāo)包括個(gè)人職能、事件重建、入侵探測(cè)和故障分析。

為了確保審計(jì)跟蹤數(shù)據(jù)的可用性和正確性，審計(jì)跟蹤數(shù)據(jù)需要受到保護(hù)，因?yàn)椴徽_的數(shù)據(jù)是沒用的。而且，如果不對(duì)日志數(shù)據(jù)進(jìn)行及時(shí)審查、規(guī)劃和實(shí)施，再好的審計(jì)跟蹤也會(huì)失去價(jià)值。審計(jì)跟蹤應(yīng)該根據(jù)需要（經(jīng)常由安全事件觸發(fā)）定期審查、自動(dòng)實(shí)時(shí)審查、或兩者兼而有之。系統(tǒng)管理人和系統(tǒng)管理員應(yīng)該根據(jù)計(jì)算機(jī)安全管理的要求確定需要維護(hù)多長(zhǎng)時(shí)間的審計(jì)跟蹤數(shù)據(jù)，其中包括系統(tǒng)內(nèi)保存的和歸檔保存的數(shù)據(jù)。

與實(shí)施有關(guān)的問題包括（1）保護(hù)審計(jì)跟蹤數(shù)據(jù)，（2）審查審計(jì)跟蹤數(shù)據(jù)，和（3）用于審計(jì)跟蹤分析的工具。