Вы также можете взглянуть на подсистему аудита Linux, хорошая документация по RHEL находится по адресуhttps://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/chap-system_auditing.
Вы можете добавлять правила, которые регистрируют события в журнале аудита, и анализировать журнал аудита, чтобы делать с ним все, что вам нравится.