在 Linux 系统中，acct（即 “accounting”）是一个用于跟踪用户行为的工具

1. 安装 acct： 对于基于 Debian 的系统（如 Ubuntu），请使用以下命令安装：

   sudo apt-get install acct

   对于基于 RHEL 的系统（如 CentOS、Fedora），请使用以下命令安装：

   sudo yum install psacct

2. 启用进程审计： 要启用进程审计，您需要编辑 /etc/default/grub 文件。在 GRUB_CMDLINE_LINUX 行中添加 audit=1，然后保存并退出。例如：

   GRUB_CMDLINE_LINUX="quiet splash audit=1"

   接下来，更新 GRUB 配置并重启系统：

   sudo update-grub sudo reboot

3. 配置 auditd： 编辑 /etc/audit/audit.rules 文件，添加以下行以启用对相关事件的审计：

   -a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execve

   这将记录所有 64 位和 32 位程序的执行。保存并退出。

4. 重启 auditd 服务：

   sudo systemctl restart auditd

5. 查看审计日志： 要查看审计日志，请使用以下命令：

   sudo ausearch -m execve

   这将显示所有已记录的程序执行事件。

通过这些步骤，您可以在 Linux 系统上追踪用户行为。请注意，这仅是一个简单的示例，您可能需要根据您的需求调整审计规则。要了解更多关于 auditd 和审计规则的信息，请参阅 auditd 手册页 和 audit.rules 手册页。

提供PHP及ThinkPHP框架的定制开发、代码优化，PHP修改、ThinkPHP修改。