UNIX可以跟踪每个用户运行的每条命令，如果想知道昨晚弄乱了哪些重要的文件，进程统计子系统可以告诉你。它对还跟踪一个侵入者有帮助。与连接时间日志不同，进程统计子系统缺省不激活，它必须启动。在Linux系统中启动进程统计使用accton命令，必须用root身份来运行。Accton命令的形式acctonfile，file必须先存在。先使用touch命令来创建pacct文件：touch/var/log/pacct，然后运行accton：accton/var/log/pacct。一旦accton被激活，就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计，可以使用不带任何参数的accton命令

 

 

 

1. 要将一个用户名添加至二进制文件中的每个进程记账记录，并将这些记录转换为名为 out.file 的 ASCII 文件，请输入以下命令或在 shell 脚本中使用这些行：

   /usr/sbin/acct/acctprc1 < /var/adm/pacct >out.file

2. 要产生示例 1 中的 ASCII 输出文件的总记账记录，请输入以下命令或在 shell 脚本中使用这些行：

   /usr/sbin/acct/acctprc2 < out.file > \
   /var/adm/acct/nite/daytacct 

   最后生成的文件是 tacct 格式的二进制总记帐文件，它包含按用户标识排序的各个记录。文件 /var/adm/acct/nite/daytacct 通过 acctmerg 命令和其它总记账记录合并以在  /var/adm/acct/sum/tacct 文件中生成日常摘要报告。

3. 要关闭进程记帐，请输入：

   /usr/sbin/acct/accton