本发明提供了一种设备网络行为记录方法、装置及回溯举证方法、装置，通过实时获取业务网络中各类设备的原始网络数据包；并对原始网络数据包进行分类识别，得到协议与管理数据包和业务应用数据包；以各协议标识为数据表名，将协议与管理数据包存储到与该数据包相对应的协议标识的数据表中；以各业务链接标识为数据表名，将业务应用数据包存储到与该数据包对应的业务链接标识的数据表中。与传统的网络数据采集记录方法的区别在于将数据包按照IP协议族分类化进行分类记录，从而实现对网络设备行为主线的快速构造，进而能够快速对关键事件进行查询。传统的网络数据采集记录方法仅能实现对数据包的查询，无法提供对网络行为的快速便捷查询支持。