自推出ksh93以来，Korn Shell就一直具有审计功能。类似bash 4.1，用户审计是一项编译时功能。想看看你所用的ksh93版本是否安装了审计功能，可以执行下列命令中的某一条：

在Ubuntu 10.10中，我得到了来自ksh93的这个输出：

如果审计功能开启，特征字符串（JM）还会有字母A（开启审计功能），可能还有字母L（开启针对用户的审计功能）。IBM Developer Works和Musings of an OS Plumber都刊有介绍Korn Shell审计的出色文章。

Bash shell含有审计功能的可能性也比较小。Ubuntu 10.10上的bash是4.1.5（1）版本。

对于仍在使用C shell（以及尤其是tsch）的用户，tcsh有一个变种名为“tcsh-bofh”，它支持记入到系统日志中。遗憾的是，tcsh-bofh并没有 得到长期的维护。早在2010年1月，tcsh-bofh的FreeBSD端口就从FreeBSD端口树（port tree）去除了。

上述信息也可以在shell之外获取。比如有两个命令：lastcomm（来自Ubuntu Main软件仓库中的acct程序包）和auditctl（来自Ubuntu Universe软件仓库中的auditd程序包）。另外， Linux Journal在2002年刊发过一篇关于Linux进程统计的好文章。另外还有rootsh和snoopylogger这两个程序包，只是两者都不在Ubuntu软件仓库中。Rootsh好比是typescript的执行版本，而snoopylogger是你可以添加到用户环境的系统库。