基于输出的数据库审计和三层数据库审计

1、市面上是否有基于输出的数据库审计系统？
我看了几款数据库审计系统，大多基于输入操作进行告警。这有点不大合适，因为我们关注的并操作本身（输入），而是操作的结果（输出）。大家都知道，要实现一个结果，有N种操作方式，也就有N种输入。这种黑名单对安全人员或者数据库审计系统厂商来说实在是一个难题，本来我还希望能有数据库审计系统厂商给我解决这个问题的，现在没办法，只有换一个思路，聚焦在输出上。因为任何基于数据库访问的拖库行为和场景，对应的输出都是有规律的。
当然了，在面对数据库篡改的时候，我们也需要关注输入 ：）
2、三层数据库审计系统给我们带来神马收益？
三层：WAF–>Web Server–>App Server–>DB Audit–>Database
传统的2层：Web Server–>App Server–>DB Audit–>Database
现在据我所知是imperva和启明星辰有三层的数据库审计系统（如果还有其他的产品能支持，还请毛遂自荐）。可以理解把waf和db audit联动起来了。哪位能给我们系统的介绍下这种架构相对传统的数据库审计（2层）的收益？
我先抛一下砖：
三层的优点：据说可以看到源IP。至于还有其他啥的好处，等待各位的大玉。
三层的不足：对系统架构有要求，要3层物理上分开部署。
传统2层的优点：部署简单，对系统架构没要求，不需要WEB-APP-DB这种三层的架构。
传统2层的不足：
如果我们的系统架构是2层的：对WEB（APP）的部署要求比较高，不能多个应用部署在一个IP上，因为数据库审计系统只能看到SRC IP。如果混杂部署了，那么数据库审计系统告警的时候，很难看到来源。
如果我们的系统架构是3层的：那么我们看到的就是来自APP的请求了，至于源头到底是哪个WEB，哪个用户，哪个IP，更难排查。如果架构做的很好的话，或许相对好查一点，或许。。。
 

上一个：数据库审计另一思路
下一个：简单获取dsn信息的方法