可以用lastcomm命令显示用户（root和非root）在本主机执行了哪些命令，设置步骤：

1.#vi /etc/rc2.d/S99acctadm

acctadm -e basic -f /var/adm/exacct/proc process //每次系统启动时自动启动系统帐户管理进程

保存退出

2.#chmod 755 /etc/rc2.d/S99acctadm

3.#/etc/rc2.d/S99acctadm

4.#lastcomm

...

sh root pts/4 0.00 secs Thu Apr 7 11:43

grep root pts/4 0.00 secs Thu Apr 7 11:43

in.telne root __ 0.01 secs Thu Apr 7 11:32

sh S guo2 pts/6 0.04 secs Thu Apr 7 11:32

lastcomm root pts/5 0.04 secs Thu Apr 7 11:33

more root pts/5 0.01 secs Thu Apr 7 11:32

df guo2 pts/6 0.00 secs Thu Apr 7 11:32

mail guo2 pts/6 0.01 secs Thu Apr 7 11:32

...

显示的命令是系统缓存中记取的所有命令，系统缓存会在/var/tmp目录下建立一个临时文件记录历史命令！系统重启后该文件也会被删除！

5.使用lastcomm时建议把其输出放进一个文件里然后下传下来检查！

＃lastcomm > /tmp/lastcomm.log

6.参考：lastcomm命令，acctadm命令