最后，创建一个SIGDEBUG陷阱，将命令发送到系统日志（syslog）。VMware的ESXi借助自己版本的ash shell已经具有这样的功能。简而言之，应创建一个把当前命令记入日志（从历史文件获取）的函数，然后用logger命令，把它发送到系统日志。这一步在bash shell和Korn Shell中都适用。

这些步骤有些冗长，不过在新版的bash和ksh中有一些新的功能特性，让这一切变得极其容易。GNU Bash在4.1版中添加了记入到系统日志中的功能，只需要编译shell的时候开启该功能即可激活。

自推出ksh93以来，Korn Shell就一直具有审计功能。类似bash 4.1，用户审计是一项编译时功能。想看看你所用的ksh93版本是否安装了审计功能，可以执行下列命令中的某一条：

在Ubuntu 10.10中，我得到了来自ksh93的这个输出：

如果审计功能开启，特征字符串（JM）还会有字母A（开启审计功能），可能还有字母L（开启针对用户的审计功能）。IBM Developer Works和Musings of an OS Plumber都刊有介绍Korn Shell审计的出色文章。

Bash shell含有审计功能的可能性也比较小。Ubuntu 10.10上的bash是4.1.5（1）版本。

对于仍在使用C shell（以及尤其是tsch）的用户，tcsh有一个变种名为“tcsh-bofh”，它支持记入到系统日志中。遗憾的是，tcsh-bofh并没有得到长期的维护。早在2010年1月，tcsh-bofh的FreeBSD端口就从FreeBSD端口树（port tree）去除了。

上述信息也可以在shell之外获取。比如有两个命令：lastcomm（来自Ubuntu Main软件仓库中的acct程序包）和auditctl（来自Ubuntu Universe软件仓库中的auditd程序包）。另外， Linux Journal在2002年刊发过一篇关于Linux进程统计的好文章。另外还有rootsh和snoopylogger这两个程序包，只是两者都不在Ubuntu软件仓库中。Rootsh好比是typescript的执行版本，而snoopylogger是你可以添加到用户环境的系统库。（这些方法有许多来自在serverfault上所提的一个问题，请参阅这个帖子。）