Я настроил Auditd на сервере RHEL6 и включил ведение журнала TTY с помощью
pam_tty_audit.so enable=*
в /etc/pam.d/system-auth и /etc/pam.d/password-auth
У меня нет других правил, настроенных в файле audit.rules, поскольку меня интересует только регистрация команд, выполняемых пользователями, а не отслеживание всех действий процессов
Я могу видеть команды, выполняемые пользователями локально на этом сервере. Но если пользователи выполняют команды удаленно с других серверов, используя SSH, например
ssh userid@<rhel server> date
эти команды не регистрируются в журналах аудита .. Есть ли способ их регистрировать?
Вам нужно отредактировать /etc/pam.d/sshd для аудита ssh
Смотри сюда https://blog.shichao.io/2015/04/22/auditing_user_tty_and_root_commands_with_auditd_on_ubuntu.html