计算机化系统事件日志和审计追踪自从2015年NMPA发布GMP附录《计算机化系统》以来，审计追踪一词迅速上升到热门词汇，审计追踪也成为设备仪器厂商介绍自己产品的优势。但是有些厂商介绍的所谓的审计追踪不是真正的“审计追踪”，可能只是我们常见的事件日志而已。那事件日志和审计追踪有什么不同，我们需要怎么区分管理呢？

先看一下法规指南对审计追踪的描述：

1.NMPA GMP附录《计算机化系统》和《 疫苗生产检验电子化记录技术指南》（试行）：

是一系列有关计算机操作系统、应用程序及用户操作等事件的记录，用以帮助从原始数据追踪到有关的记录、报告或事件，或从记录、报告、事件追溯到原始数据。

2.FDA《数据完整性和GMP符合性问答》：

就本指南而言，审计追踪是指安全的、计算机生成的、带时间戳的电子记录，允许重建与电子记录创建、修改或删除相关的事件过程。例如，高效液相色谱（HPLC）运行的审计追踪应包括用户名、运行日期/时间、使用的积分参数，以及再处理（如有）的详细信息，包括再处理的变更理由。

事件日志在相应的法规指南并未找到明确的定义，说明其可以进行开放性设计。设计好的事件日志可能具备审计追踪全部或部分功能，但其不是审计追踪也不能作为审计追踪的替代。以下是对审计追踪和事件日志的不同：

a.针对目标不同，拿实验室层面审计追踪举例，涉及含系统层面（如登入登出）、应用层面（如查看记录，建立报告）、方法层面（如方法修改的历史）、结果层面（如结果报告的输出）和序列层面（如序列名称改变）；而事件日志一般是对系统层面（如系统开机）或应用层面（如未找到样品）的记录。

b.数据意义不同，审计追踪是一种元数据，能定义所有涉及原始数据的全过程，无论是系统、应用还是结果层面均含全面追溯，所以要包含“谁、什么时间、做了什么”；而事件日志是一种现象的表现记录，其没有明显的追溯目的，不会有严格的追溯条件，如仪器断电，不会追溯是谁断的电，无论是人为断电还是异常断电。

c.保存有效期不同，审计追踪作为电子数据的元数据，其生命周期应和相应的电子数据一致，不得中途进行销毁或覆盖。事件日志可以根据条件设置覆盖来释放系统内存。

d.合规管理不同，审计追踪作为电子数据的元数据，其需要按照规定进行定期审核，且在开启后不得关闭（或者有审计追踪追溯其开关情况）。事件日志可以根据条件设置覆盖来释放系统内存，并没有合规强制要求审核。

e.来源不同，审计追踪一般来源软件系统本身。事件日志可能来源第三方软件或底层设备，如仪器门打开来源于仪器本身的开门信号。

综上所述，审计追踪和事件日志有明显的不同，但并不代表事件日志对GXP工作没有帮助，反而其可能成为日常审计检查的遗漏项而导致引起合规风险，如灌装机日志显示无菌生产过程中RABS门被打开，而我们没有任何质量活动来解释说明，会导致无菌合规风险。再比如检验过程检测器中断日志，如果不及时判断并记录是人为中断还是仪器故障，也会导致后期合规风险。所以，事件日志也是我们日常GXP活动的重要帮手，其可以做审计追踪的审查的辅助功能，GXP活动不可将其遗漏了。