现有的数据库审计系统大多基于输入进行审计，其实基于输出的审计更能提高审计的有效性，避免漏报和误报。

之前和一些数据库审计系统供应商交流的时候，他们把设计和实施审计系统策略的责任推给用户（至少我是这么认为的），说什么要和业务结合，说什么都是select，但是有的select合法，有些不合法，说什么他们不懂我们的业务，不知道该如何设计策略。从我的角度出发看，这就是借口。根本都没有认真深入的思考，我就不信抽象不出通用的东西。他们现在的状态就是卖产品帮助甲方应付法规的要求。当然了，这和他们的用户级别比较低有关，都是神马医院，ZF的用户。所以也不能全怪厂商，数据库审计系统市场尚属于混沌初开的状态。

想真正把数据库审计产品用起来的企业在采购的时候得多琢磨琢磨，想清楚自己到底需要解决神马问题，把具体的问题列出来1，2，3，4，5，然后传递给供应商去解决。素包子提醒一下，我们所关注的是数据库资产，而非SQL语句。