安装:

apt install acct

 accton

accton命令是Linux系统进程管理命令之一,它的作用是打开进程统计,如果不带任何参数,即关闭进程统计。



        具体用法为:accton [ -V | --version ] [ -h | --help ] [ filename ]



        其主要选项如下:    



        -V,--version:显示ac版本并退出。

        -h,--help:打印命令概要,并显示系统默认accton文件。

        特别需要说明的是:acct是一个工具包,里面包含有针对用户连接时间、进程执行情况等进行统计的工具。它可以记录用户登录信息。用户所执行的程序,程序执行情况信息等。它包含以下一些命令:

        ac:登录账号的简要信息。

        accton:打开或关闭进程账号记录功能。

        last:显示曾经登录过的用户。

        lastcomm:显示已执行过的命令。

        sa:进程账号记录信息的摘要。

        dump-utmp:输出utmp文件内容。

        dump-acct:输出acct或pacct文件内容。

        在Linux系统中启动进程统计使用accton命令,必须用root身份来运行。accton命令的形式为accton file,file必须事先存在。先使用touch命令创建pacct文件:touch /var/log/pacct

        然后运行:accton /var/log/pacct

        一旦accton被激活,就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计,可以使用不带任何参数的accton命令进行关闭:accton

 

 

 

 

进程统计的一个问题是pacct文件可能增长得十分迅速。这时需要交互式地或经过 cron机制运行sa命令来保证日志数据在系统控制内。sa命令报告、清理并维护进程统计文件。它能把/var/log/pacct中的信息压缩到摘要文 件/var/log/savacct和 /var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。在默认情况下sa先读它们,然后读pacct文件,使报告能包含 所有的可用信息。sa的输出有下面一些标记项。

 

 

lastcomm

 

 

lastcomm是用来显示以前用过的命令信息。accton用来启动进程记录,这样就会把所有的命令都记录到一个指定的文件中,而lastcomm就是用来查看这个文件的,以方便系统管理。(下次我会把accton的相关用法也贴出来)

lastcomm用法:lastcomm [选项]... [文件]...

其主要选项如下:

        — -strict-match:精确匹配每一列

  — --user name:只显示指定用户的命令记录。

  — --command name:只显示指定命令的记录。

  — --tty name:只显示在指定终端上运行的命令。

  — -f filename:指定一个命令记录文件来代替默认文件——acct。

  — --debug:打印其他内核信息。

  — -V,--version:打印版本。

  — -h,--help:打印概要和系统默认统计文件(Linux里面的默认文件多是/var/log/pacct 和/var/account/pacct)。

当我们在系统中开启了进程记录,输入这样的命令“# lastcomm -f /var/log/pacct”,会有以下关键信息:

       — 进程的命令。

  — 标志,由系统标准统计进程完成。

  Ø S:命令由超级用户运行。

  Ø F:命令由子进程运行,没有使用exec的子进程。

  Ø C:命令运行在PDP-11兼容模式下。

  Ø D:命令终止时产生core文件。

  Ø X:命令由信号SIGTERM终止。

  — 运行命令的用户名。

  — 进程使用的系统时间。

具体情况可以自己实际操作来验证。