使ってみようpam_tty_auditユーザーが実行したすべてのコマンドを記録します。 RHEL5ホストにSSHで接続して実行し、sudo -i接続しました。
session required pam_tty_audit.so disable=* enable=root
session以下のように sum ファイルセクションの先頭に/etc/pam.d/system-auth/etc/pam.d/password-authこの例。その後、auditdサービスを再起動します。その後、テスト用にランダムにpwdコマンドを実行しましたls。次に、aureport --ttyレコードが存在することを確認するコマンドを入力します。ただし、CLI出力は次のようになり、コマンドが記録されていないようです。
TTY Report
===============================================
# date time event auid term sess comm data
===============================================
<no events of interest were found>.
提案がありますか?ありがとうございます!