处于低敏感级别时，系统只关心流过网关的域名或IP地址是否符合规则的要求，当一个新的IP包被捕获以后，数据采集服务会将这个IP包的详细信息，包括源地址、源端口、目的地址、目的端口，记录到数据库中，通过触发器的设定，数据库系统会自动启动一个规则比对的过程，发现问题后及时处理。

系统处于高敏感级别时，除了关心IP地址的合法性之外，还关心流过的数据包中的内容是否合法，是否含有敏感字句。由于数据采集服务采集到的是单个的IP包的序列，要得到数据包中内容，必须对TCP的会话过程进行再现，也就是说，必须将会话中涉及到的全部IP包进行重新组装，并得到一个可以理解的TCP过程。TCP会话的还原过程由实时审计系统内部的模拟TCP/IP栈来实现。

通过TCP/IP栈的模拟，并结合应用协议的分析，所有的TCP应用协议，如TELNET、HTTP、FTP、SMTP、POP3、IMAP，以及基于UDP的ICQ、OICQ等等都可以在实时审计系统面前一览无遗。
最后，规则控制模块对协议的会话内容进行检查，完成实时审计过程。如果发现非法情况，通知数据库服务记录下给定时间段某个用户的数据流，为日后的动作回放做准备。同时，以告警灯、告警声音、告警级别(从颜色上反映)、以及告警分析等方式通知监控中心。

3.2动作回放
动作回放是实时审计的查看工具，也就是说，实时审计发现了问题，监控中心得到了报警信息，通过动作回放，就可以更加直观地显示出被报警用户的使用网络的全过程，为执法人员提供可信的证据。

动作回放功能是在网络控制中心由监控人员来使用。为了执行一个回放，首先，监控中心需要与远程的通讯服务联系，通过数据库服务，取得一个报警所涉及的全部IP包。监控中心得到了全部IP包之后，与实时审计一样，需要启动一个模拟的TCP栈，还原出TCP的会话过程，最后按照协议的不同，在不同的环境下重现用户使用网络的过程。例如，某个远程的用户通过WEB浏览器访问了非法站点，并发布了非法信息，监控中心得到了告警之后，得到了该用户的HTTP的会话过程，其中包含了URL的请求，服务器的返回等等，在监控中心的模拟环境中，就可以重现URL请求和服务器返回的详细情况。

3.3屏幕监控
监控中心通过屏幕监控系统可以实时监控每个上网用户的屏幕变化。在用户通过用户管理登记到BroadenGate系统上来的时候，系统在客户端安装一个小型的不可见的插件，这个插件作为屏幕监控的客户端，实时截取用户屏幕数据，转换成特定的格式，并通过高性能的数据压缩和数据加密，传输给监控中心。
监控中心的屏幕监控服务器可以同时监控多个工作站，记录工作站显示屏的画面，回放已记录的画面。另外，屏幕监控服务器还可以报告工作站和系统的其它使用情况、锁定工作站、并传送实时信息给工作站。