本说明书实施例提供了一种基于系统审计日志的溯源图构建与剪枝方法、装置及介质，其中，该方法包括获取不同操作系统审计日志，根据各审计日志信息获取主体信息，事件信息及客体信息，分别构成三元信息组，其中，主体为进程，客体为程序、文件或套接字；根据各三元信息组信息及对应的事件类型，确定对应的处理方法，计算获取各事件的主客体的唯一标识；根据各主客体的唯一标识判断各实体是否存在节点集合中，如果不存在，在节点集合中创建实体节点，且在边集合中创建对应主客体实体之间的边；如果存在，进行剪枝操作获得溯源图。本发明对系统生成的统一格式溯源图进行剪枝处理，在保证因果语义完整性的前提下，大大减少溯源图所需的系统空间。