<div dir="ltr">This is correct. The problem is,  this records every keystrokes and even the password of the users. While I only care about the user command history, I surely do not want to know their passwords. <br><br> <br>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Oct 6, 2013 at 2:40 PM, Trevor Vaughan <span dir="ltr"><<a href="mailto:tvaughan@onyxpoint.com" target="_blank">tvaughan@onyxpoint.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Does pam_tty_audit with enable=* not do what you want?<div><br></div><div>Trevor</div></div><div class="gmail_extra">
<br><br><div class="gmail_quote"><div><div class="h5">On Sun, Oct 6, 2013 at 5:26 PM, zhu xiuming <span dir="ltr"><<a href="mailto:xiumingzhu@gmail.com" target="_blank">xiumingzhu@gmail.com</a>></span> wrote:<br>
</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr"><div><div><div><div><div><div><div>HI<br></div>I know this seems an old topic. But unfortunately, I can't find a solution for this. I have googled long time. I tried following options:<br>

<br></div>1. audit execv syscall, <br>
</div>    this does record every command typed any tty. However, it generates lots of noise.  Sometimes, the execv syscall is so frequently called that the system can't afford to log every call of it and it crashes !!!<br>


<br></div>2. use <b>pam_tty_audit.so<br></b></div>this makes it possible to record one or two users, not all users. <b><br></b><br></div>So, may I ask, is this problem solvable by auditd or do I need other tools ?<b><br>

<br>
</b></div><b>Thanks a lot<br></b><div><div><div><b><br></b></div></div></div></div>
<br></div></div><span class="HOEnZb"><font color="#888888">--<br>
Linux-audit mailing list<br>
<a href="mailto:Linux-audit@redhat.com" target="_blank">Linux-audit@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/linux-audit" target="_blank">https://www.redhat.com/mailman/listinfo/linux-audit</a><br></font></span></blockquote></div><span class="HOEnZb"><font color="#888888"><br><br clear="all">
<div><br></div>-- <br>Trevor Vaughan<br>Vice President, Onyx Point, Inc<br>
<a href="tel:%28410%29%20541-6699" value="+14105416699" target="_blank">(410) 541-6699</a><br><a href="mailto:tvaughan@onyxpoint.com" target="_blank">tvaughan@onyxpoint.com</a><br><br>-- This account not approved for unencrypted proprietary information --
</font></span></div>
</blockquote></div><br></div>