Eu configurei o Auditd em um servidor RHEL6 e habilitei o log TTY usando
pam_tty_audit.so enable=*
em /etc/pam.d/system-auth e /etc/pam.d/password-auth
Eu não tenho nenhuma outra regra configurada no arquivo audit.rules, pois estou interessado apenas em comandos de log executados por usuários e não rastreando todas as atividades do processo
Eu posso ver os comandos executados por usuários localmente neste servidor. Mas se os usuários estão executando comandos remotamente de outros servidores usando SSH, como
ssh userid@<rhel server> date
esses comandos não são registrados em logs de auditoria. Existe alguma maneira de registrá-los?