系统中的历史命令对于后期排除故障非常有用。一般都需要把历史命令给保存起来。
方法1：
实时记录历史命令到bash_history，不记录日志文件中
[root@bing~]#vim /etc/bashrc
export HISTTIMEFORMAT='%F %T ' #让历史命令记录操作时间
export HISTSIZE=1000000 #设置保存历史命令条数
export HISTFILESIZE=1000000 #设置保存历史命令的文件大小
shopt -s histappend
PROMPT_COMMAND='history -a' #实时记录历史命令，防止丢失
优点：简单方便，易设置
缺点：安全性较差，多用户下，只能分别记录到各自的.bash_history中，没有统一管理

方法2：
实时记录历史命令到自定义文件中，不记录日志文件中
[root@bing~]#vim /etc/bashrc
export HISTORY_FILE=/var/.history/date '+%y-%m-%d'.log #自定义历史命令保存文件
export PROMPT_COMMAND=' { date "+%Y-%m-%d %T - USER:$USER IP:$SSH_CLIENT PS:$SSH_TTY - $(history 1 | { read x cmd; echo "$cmd"; })"; } >> $HISTORY_FILE'

把所有用户的登录时间、登录地址、操作记录统一记录到指定文件中

优点：可随意更改存放地址，隐蔽性高，记录多用户操作
缺点：安全性还是不高，非法用户还是可能找到并进行删除

方法3:（推荐）
实时记录历史命令，并记录到日志文件中
[root@bing~]#vim /etc/bashrc
export PROMPT_COMMAND='history -a { command=$(history 1 | { read x y;echo $y; } );logger -p local1.notice -t bash -i "user=$USER,ppid=$PPID,from=$SSH_CLIENT,pwd=$PWD,command:$command " }'

[root@bing~]#vim /etc/syslog.conf
local1.notice /var/log/cmd.log
优点：记录到日志中，配合日志服务器，可把日志传送过去，安全性高

方法4：（这个方法我未实际操作过，以下引用别人的实验）
利用bash的新特性来记录历史命令，可记录到日志文件中
使用bash4.1的新功能：历史命令保存到syslog！然后使用syslog-ng构建集中型日志服务器收集主机日志。
1 下载bash：

wget http://ftp.gnu.org/gnu/bash/bash-4.1.tar.gz

tar zxvf bash-4.1.tar.gz –C /usr/local/bash-4.1

cd /usr/local/bash-4.1

2 修改参数(根据个人需要，我只保留了pid，uid，sid等，参数请看目录下的shell.c中)：
文件bashhist.c大约708行的位置开始，修改成以下一段：
syslog (SYSLOG_FACILITY|SYSLOG_LEVEL,"HISTORY: PID=%d PPID=%d SID=%d User=%s CMD=%s", getpid(),getppid(), getsid(getpid()), current_user.user_name, line);
else
{
strncpy (trunc, line, SYSLOG_MAXLEN);
trunc[SYSLOG_MAXLEN -1]='0';
syslog (SYSLOG_FACILITY|SYSLOG_LEVEL,"HISTORY (TRUNCATED): PID=%d PPID=%d SID=%d User=%s CMD=%s", getpid(),getppid(), getsid(getpid()), current_user.user_name, trunc);
}
注：ppid：bash父进程号
Sid： 跟踪 su 切换后的进程号
第二段代表log长度超过600后使用的语句
3 去掉config-top.h中define SYSLOG_HISTORY的注释。
结果如下：

define SYSLOG_HISTORY

4 编译安装

./configure & make && make install

5 修改用户配置：
将用户的bash换成现在的bash4.1

vi /etc/passwd

dongwm:x:501:501::/home/dongwm:/usr/local/bash_4.1/bin/bash
这样日志就会记在/var/log/messages

结果类似这样：
Dec 2317:40:28 server -bash: HISTORY: PID=4089 PPID=4088 SID=4089 User=dongwm CMD=exit
……
在整个环境布置了记录功能，就能方便的查出来谁-在何时，用什么账号，做了什么操作…

6 主机syslog配置（添加日志服务器的地址）

vi /etc/syslog.conf

在最后添加一列：
. @server.dongwm.com（你的日志服务器的地址）