为了确保审计跟踪数据的可用性和正确性，审计跟踪数据需要受到保护，因为不正确的数据也是没用的。而且，如果不对日志数据进行及时审查，规划和实施得再好的审计跟踪也会失去价值。审计跟踪应该根据需要（经常由安全事件触发）定期审查、自动实时审查、或两者兼而有之。系统管理人和系统管理员应该根据计算机安全管理的要求确定需要维护多长时间的审计跟踪数据，其中包括系统内保存的和归档保存的数据。

与实施有关的问题包括（1）保护审计跟踪数据，（2）审查审计跟踪数据，和（3）用于审计跟踪分析的工具。

（A）保护审计跟踪数据

访问在线审计日志必须受到严格限制。计算机安全管理人员和系统管理员或职能部门经理出于检查的目的可以访问，但是维护逻辑访问功能的安全和管理人员没有必要访问审计日志。

防止非法修改以确保审计跟踪数据的完整性尤其重要。使用数字签名是实现这一目标的一种途径。另一类方法是使用只读设备。入侵者会试图修改审计跟踪记录以掩盖自己的踪迹是审计跟踪文件需要保护的原因之一。使用强访问控制是保护审计跟踪记录免受非法访问的有效措施。当牵涉到法律问题时，审计跟踪信息的完整性尤为重要（这可能需要每天打印和签署日志）。此类法律问题应该直接咨询相关法律顾问。

审计跟踪信息的机密性也需要受到保护，例如审计跟踪所记录的用户信息可能包含诸如交易记录等不宜披露的个人信息。强访问控制和加密在保护机密性方面非常有效。

（B）审查审计跟踪数据

审计跟踪的审查和分析可以分为在事后检查、定期检查或实时检查。审查人员应该知道如何发现异常活动。他们应该知道怎么算是正常活动。如果可以通过用户识别码、终端识别码、应用程序名、日期时间或其它参数组来检索审计跟踪记录并生成所需的报告，那么审计跟踪检查就会比较容易。

事后检查

当系统或应用软件发生了故障、用户违反了操作规范、或发现了系统或用户的异常问题时，系统级或应用级的管理员就会检查审计跟踪。应用或数据的拥有者在检查审计跟踪数据后会生成一个独立的报告以评估他们的资源是否遭受损失。

定期检查

应用的拥有者、数据的拥有者、系统管理员、数据处理管理员和计算机安全管理员应该根据非法活动的严重程度确定检查审计跟踪的频率。

实时检查

通常，审计跟踪分析是在批处理模式下定时执行的。审计记录会定时归档用于以后的分析。审计分析工具可用于实时和准实时模式下。此类入侵探测工具基于审计数据精选、攻击特征识别、和差异分析技术。由于数据量过大，所以在大型多用户系统中使用人工方式对审计数据进行实时检查是不切实际的。但是，对于特定用户和应用的审计记录进行实时检查还是可能的。这类似于击键监控，不过这可能会涉及到法律是否允许的问题。

（C）审计跟踪工具

许多工具是用于从大量粗糙原始的审计数据中精选出有用信息。尤其是在大系统中，审计跟踪软件产生的数据文件非常庞大，用人工方式分析非常困难。使用自动化工具就是从审计信息中将无用的信息剔除。其它工具还有差异探测工具和攻击特征探测工具。

审计精选工具（audit reduction tools）

此类工具用于从大量的数据中精选出有用的信息以协助人工检查。在安全检查前，此类工具可以剔除大量对安全影响不大的信息。这类工具通常可以剔除由特定类型事件产生的记录，例如由夜间备份产生的记录将被剔除。

趋势／差别探测工具(trends/variance-detection tools)

此类工具用于发现系统或用户的异常活动。可以建立较复杂的处理机制以监控系统使用趋势和探测各种异常活动。例如，如果用户通常在上午9点登录，但却有一天在凌晨4点半登录，这可能是一件值得调查的安全事件。

攻击特征探测工具（attack signature-detection tools）

此类工具用于查找攻击特征，通常一系列特定的事件表明有可能发生了非法访问尝试。一个简单的例子是反复进行失败的登录尝试。