เพิ่มบรรทัดนี้ในการกำหนดค่า pam ของคุณรับผิดชอบในการเข้าสู่ระบบ (ระบบการตรวจสอบของมันบน distros ตาม redhat)
session required pam_tty_audit.so enable=*
เพื่อหาสิ่งที่ทำคุณสามารถใช้
ausearch -ts <some_timestamp> -m tty -i
สิ่งนี้สร้างผลลัพธ์เช่นนี้:
type=TTY msg=audit(11/30/2011 15:38:39.178:12763684) : tty pid=32377 uid=root
auid=matthew major=136 minor=2 comm=bash data=<up>,<ret>
ข้อเสียเพียงอย่างเดียวของเรื่องนี้ก็คืออ่านยากนิดหน่อย แต่มันดีกว่าวิธีแก้ปัญหาที่เสนอมามากที่สุดเนื่องจากในทางทฤษฎีแล้วมันสามารถใช้บันทึกเซสชันทั้งหมดหูดทั้งหมด
แก้ไข: โอ้และคุณสามารถใช้ aureport เพื่อสร้างรายการที่มีประโยชน์มากขึ้น
# aureport --tty
...
12. 11/30/2011 15:50:54 12764042 501 ? 4294967295 bash "d",<^D>
13. 11/30/2011 15:52:30 12764112 501 ? 4294967295 bash "aureport --ty",<ret>
14. 11/30/2011 15:52:31 12764114 501 ? 4294967295 bash <up>,<left>,<left>,"t",<ret>