Thêm dòng này vào cấu hình pam của bạn chịu trách nhiệm đăng nhập (hệ thống của nó tự động trên các bản phân phối dựa trên redhat)
session required pam_tty_audit.so enable=*
Để tìm hiểu những gì đã được thực hiện, bạn có thể sử dụng.
ausearch -ts <some_timestamp> -m tty -i
Điều này tạo ra một đầu ra như thế này:
type=TTY msg=audit(11/30/2011 15:38:39.178:12763684) : tty pid=32377 uid=root
auid=matthew major=136 minor=2 comm=bash data=<up>,<ret>
Nhược điểm duy nhất của điều này là có thể hơi khó đọc, nhưng nó tốt hơn nhiều so với hầu hết các giải pháp được đề xuất vì trên lý thuyết nó có thể được sử dụng để ghi lại toàn bộ phiên, cảnh báo tất cả.
Chỉnh sửa: Oh và bạn có thể sử dụng aureport để tạo một danh sách có thể hữu ích hơn.
# aureport --tty
...
12. 11/30/2011 15:50:54 12764042 501 ? 4294967295 bash "d",<^D>
13. 11/30/2011 15:52:30 12764112 501 ? 4294967295 bash "aureport --ty",<ret>
14. 11/30/2011 15:52:31 12764114 501 ? 4294967295 bash <up>,<left>,<left>,"t",<ret>