Monitorando as atividades do usuário do Linux e auditando-as

var/log/secure nos fornece informações abaixo:

Mar 20 08:07:07 testing sshd[29749]: Accepted password for oracle from 10.51.1.12 port 49239 ssh2
Mar 20 08:07:07 testing sshd[29749]: pam_unix(sshd:session): session opened for user oracle by (uid=0)
Mar 20 08:12:16 testing sshd[29759]: Received disconnect from 10.51.1.12: 11: Disconnect requested by Windows SSH Client.
Mar 20 08:12:16 testing sshd[29749]: pam_unix(sshd:session): session closed for user oracle

Mas quais comandos que oracle user executou não podemos obter das informações acima?

/home/oracle/.bash_history nos fornece informações como esta sobre quais comandos são executados:

cat /u01/up_apps.sh 
cd daily/work
less Auto_Clone.log 
cat Auto_Clone.log 
exit
exit
cat /home/oracle/ashfaq/Auto_Clone/Auto_Clone.sh 
cat /u01/down.sh 
cd /u01/oracle/inst/apps/TESTING_testing/admin/scripts/
./adstpall.sh apps/apps
./adstrtal.sh apps/apps
cat /home/oracle/ashfaq/Auto_Clone/Auto_Clone.sh 
cat /home/oracle/ashfaq/demo/main_exec.sh
cd /home/oracle/ashfaq/demo/
ls -ltr
cat main_exec.sh

mas não nos diz qual usuário de qual IP ou nome de host e em que horas executaram esses comandos.

Podemos criar algum arquivo personalizado onde possamos armazenar todas essas informações em um arquivo com o tempo, IP, nome de usuário ( root , oracle , ricky ) e comandos executados por esses usuários?