Como logar todos os comandos executados no Linux incluindo seus argumentos (parâmetros)? [duplicado]

Você já tentou enviar um histórico para o syslog?

Um dos muitos exemplos

link

O Auditd é realmente legal :) Com a configuração apropriada, você pode ver todos os eventos que quiser (eu vou dar um exemplo de um dos meus servidores) Então, como você pode ver, na minha saída ausearch, você pode ver que / bin / rm foi invocado e também os arquivos que foram excluídos (eu mudei os caminhos reais para / tmp / X * - e como você pode ver, leva todos os argumentos a1 a a8). Se é isso que você quer, eu posso te dar algumas das minhas configurações e também alguns guias que usei para configurar o auditd.

time->Thu May 28 11:35:01 2015

type=PATH msg=audit(1432812901.638:4583880): item=1 name=(null) inode=57348 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00

type=PATH msg=audit(1432812901.638:4583880): item=0 name="/bin/rm" inode=8252 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00

type=CWD msg=audit(1432812901.638:4583880):  cwd="XXX"

type=EXECVE msg=audit(1432812901.638:4583880): argc=9 a0="rm" a1="-r" a2="/tmp/*" a3="/tmp/XX" a4="/tmp/XXX" a5="/tmp/XXXX" a6="/tmp/XXXXX" a7="/tmp/XXXXXXX" a8="/tmp/XXXXXXX"

type=SYSCALL msg=audit(1432812901.638:4583880): arch=c000003e syscall=59 success=yes exit=0 a0=1d27830 a1=1d27e20 a2=1d26870 a3=7fff70cfb2d0 items=2 ppid=10230 pid=10231 auid=1105 uid=1105 gid=1005 euid=1105 suid=1105 fsuid=1105 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=35220 comm="rm" exe="/bin/rm" key=(null)