pam_tty_audit(8)
foi escrito exatamente para este problema:
Examples
Audit all administrative actions.
session required pam_tty_audit.so disable=* enable=root
Você pode colocar isso em /etc/pam.d/sudo
para auditoria somente sudo(8)
ou em /etc/pam.d/common-session
se você quiser auditar tudo o que root
faz em qualquer console.