sudo обычно регистрирует только команду, которую он явно запускает.
Если пользователь запускает такую команду, как sudo su или sudo sh, последующие команды, запускаемые из этой оболочки, не подчиняются политике безопасности sudo.
То же самое верно и для команд, предлагающих экранирование оболочки (включая большинство редакторов).
Если ведение логов ввода-вывода включено, для последующих команд будут регистрироваться их ввод и/или вывод, но для этих команд не будет традиционных логов.
1. Отредактируйте файл /etc/sudoers с помощью команды: visudo и добавьте следующую запись:
# visudo Defaults log_output Defaults log_input Defaults iolog_dir=/backup/SUDO_IO_LOG
Например:
# cat /etc/sudoers ... # add log Defaults log_output Defaults log_input Defaults iolog_dir=/backup/SUDO_IO_LOG
2. расположение логов
# pwd /backup/SUDO_IO_LOG # ls 00 seq