本申请涉及一种基于可信执行环境的网络安全事件捕获方法和装置。通过将通过安全通信通道接收的采集节点发送的日志和流量信息发送至存储中心，并且保留最新日志和流量信息存储在第二可信区中作为待索引信息，基于预设的数据密封策略将日志和流量信息密封后存储在存储中心的非可信区中，通过将数据安全地保存在非可信区，实现了主机数据本地存储的机密性，可以根据输入的键词在第二可信区的待索引信息中检索，当在待索引信息中未检索到匹配事件信息时，将非可信区中的密封信息进行解封，将关键词与解封的信息进行匹配，输出目标可信事件信息。在本发明中通过引入可信区提供了高可靠性、抗攻击的事件捕获能力，能够更加适应数据多源采集需求。