Для того чтобы включить ведение логов пользователя root через связку auditd и pam нужно добавить в файл /etc/pam.d/system-auth-ac строку.
session required pam_tty_audit.so disable=* enable=rootЛог будет вестись в /var/log/audit/audit.log Для просмотра логов можно использовать команду aureport --tty -ts todayПараметры ключа -ts следующие: now, recent, today, yesterday, this-week, week-ago, this-month, this-yearлистинг команды aureport --tty -ts today
Данный способ фиксирует все нажатия пользователя на клавиатуре, что приводит к образованию небольшого мусора в в отчете. В частности при использовании midnight commander.Также следует учесть что данный метод не фиксирует команды выбранные из истории шелла.
Данный момент следует учитывать при использовании данного метода. Но при всем этом данный способ ведет лог всей консоли.