这样就可以将所有匹配有 HISTORY:内容的消息统一存放在我们指定的文件里，简单看
下演示效果，首先在客户端上随便执行一些命令，如下：
 同时我们在日志服务器上tail –f跟踪一下相应的history 文件，

syslog-ng还有其它的功能，比如使用TCP来传输日志、使用 TLS对中间数据进行加密
等；另外syslog-ng还支持将日志导入数据库并有专门的web界面方便显示数据等功能。我
们可以根据自己的需要定制开发相应的 web 查询功能供运维人员查询自己所属机器上运行
的命令等等，这些都是可以进行优化的地方，请大家根据自己的情况考虑。

方案小结与改进
 
这套linux操作审计系统思路非常简单，就是bash程序将 history发到syslog，然后
yslog 集中存放并入库供方便查询，但存在些许缺点：
1.  该方案只能记录history类似的命令执行日志，无法记录通过程序或者脚本执行的
命令；
2.  该方案依然存在被用户绕过的风险，用户可以修改自己的默认shell，而linux默
认提供了除bash 之外的其它shell，比如/bin/csh、/bin/zsh、/bin/ksh等，如果用户登
录之后将自己的bash 改为/bin/csh或没加记录history到syslog的 bash 则无法记录，或
者直接执行/bin/csh即可绕过，当然你可以将不用的shell 想办法干掉；
3.  关于审计linux操作还有一些其它的技术实现，比如加载内核模块拦截系统调用或
者读取系统pty接口等等，本文的方案只当一个思路供大家参考；
4.  安全讲究纵深防御，该方案只是用来供事后审计，还是建议大家把事前的安全措施
以及事中的监控措施做好。