Um jede Eingabe von root auf der Console/Terminal zu loggen:
In /etc/pam.d/system-auth-ac folgende Zeile eintragen:
session required pam_tty_audit.so disable=* enable=root

Die audit-log-files sind in /var/log/audit und können als root mit aureport ansesehen werden.

aureport --tty      --> Logging von TTY-Eingaben sehen
aureport --help     --\ 
man aureport        --/ Hilfe zu aureport

Unter /etc/audit das File auditd.conf bearbeiten:

num_logs = n        --> Anzahl der audit.log Files die vorgehalten werden
max_log_file = n    --> Größe der audit.log Files in MB (default = 6 d.h. 6 MB)
man audit.log       --> Hilfe zum audit.log Config-File