Um jede Eingabe von root auf der Console/Terminal zu loggen:
In /etc/pam.d/system-auth-ac folgende Zeile eintragen:
session required pam_tty_audit.so disable=* enable=root
Die audit-log-files sind in /var/log/audit und können als root mit aureport ansesehen werden.
aureport --tty --> Logging von TTY-Eingaben sehen aureport --help --\ man aureport --/ Hilfe zu aureport
Unter /etc/audit das File auditd.conf bearbeiten:
num_logs = n --> Anzahl der audit.log Files die vorgehalten werden max_log_file = n --> Größe der audit.log Files in MB (default = 6 d.h. 6 MB) man audit.log --> Hilfe zum audit.log Config-File