Isso pode ser devido a uma proteção incorporada do sistema de auditoria. Aqui está uma citação relevante de alguém depurando sua mesma situação. Parece que os usuários não raiz são impedidos de enviar os registros USER_TTY. Em vez disso, os comandos serão gravados quando o bash sair ou o buffer de coleta ficar cheio.
Você deve ser capaz de encontrar as informações que procura depois que o usuário fizer o logout.