Какое правило аудита необходимо добавить, чтобы запись USER_TTY
регистрировалась?
Будет ли он записывать все выполненные команды в поле msg
?
Включите pam _tty _аудит , поместив эту строку в ваши файлы /etc/pam.d/:
session required pam_tty_audit.so disable=bounce enable=root