网络给人们的生活和工作带来了极大的方便，但也使信息系统面临的新的威胁。安全审计系统是网络信息安全整体防护体系中重要环节，与其他安全措施相辅相成。它提供一个集中各种审计数据存储、分析以及管理的平台，根据一定的安全策略记录和对历史操作事件及数据评估分析，发现能够改进系统性能和系统安全策略的方法，或者在违反安全规则的事件发生后，为追究有关实体或个人的责任提供依据。 作为强审计系统，审计数据量必然很大，用户提供的存储空间是有限的，需要实现数据过滤。本文设计了一种数据过滤方法，对存储的各种日志文件和网络数据依据时间和优先级设置淘汰规则，其中优先级依据不同类别的数据的重要性确定。系统运行测试表明可实现系统的连续运行，保存更新有价值的审计数据。 本文第二部分的工作是为了在发生纠纷提起诉讼时提供更多真实有效被法庭认可的计算机证据，从而进一步研究了主动取证技术。由于IDS日志存在误报的可能，作为证据使用不够充分。一种观点是采取主动行动对全部网络数据流进行实时记录。但同时网络数据量十分巨大，代价高，为了尽量保留有价值证据，实现较大的数据缩减，并降低成本，提出一种证据选取存储的方法。该方法根据IDS日志对安全事件进行分类，针对不同类型的安全事件选取并存储不同的网络数据作为证据存储，以实现证据量与代价的折衷。