入侵检测的一个基本工具是审计记录。用户活动的记录应作为入侵检测系统的输入。一般采用下面两种方法。

原始审计记录：几乎所有的多用户操作系统都有收集用户活动信息的审计软件。使用这些信息的好处是不需要额外使用收集软件。其缺点是审计记录可能没有包含所需的信息，或者信息没有以方便的形式保存。

专用审计记录：使用的收集工具可以只记录入侵检测系统所需要的审计记录。此方法的优点在于提供商的软件可适用于不同的系统。缺点是一台机器要运行两个审计包管理软件，需要额外的开销。

每个审计记录可以包含以下几个域：

主体：行为的发起者。主体通常是终端用户，也可以是充当用户或用户组的进程。所有的活动来自主体发出的命令。主语分为不同的访问类别，类别之间可以重叠。

动作：主体对一个对象的操作或联合一个对象完成的操作。例如，登录、读、I/O操作和执行。(www.daowen.com)

客体：行为的接收者。客体包括文件、程序、消息、记录、终端、打印机、用户或程序创建的结构。当主体是活动的接收者时，则主体也可看成客体，如Email。客体可根据类型分类。客体的粒度可根据客体类型和环境发生变化。例如，数据库行为的审计可以以数据库整体或记录为粒度进行审计。

异常条件：若返回时有异常，则标志出该异常情况。

资源使用：指大量元素的列表。每个元素都给出某些资源使用的数量（例如，打印或显示的行数、读写记录的次数、处理器时钟、使用的I/O单元、会话占用的时间）。

时间戳：用来表示动作发生时间的唯一标志。