<div dir="ltr">Hello everyone, here is is my configuration file, I am unable to track root activity, I am able to track user activity like the commands ran etc. <div><br></div><div>For example: If I run a command as sudo, I see it in the log however the same command when switched to root is not being tracked. </div><div><br></div><div>Any help is appreciated. Thank you.<div><br></div><div><br></div><div><div>@version:3.9</div><div>@include "scl.conf"</div><div><br></div><div><br></div><div>options { threaded(yes); };</div><div><br></div><div><br></div><div><div>source s_sys {</div><div>unix-stream("/dev/log");</div><div>    system();</div><div>    internal();</div></div><div>    </div><div>};</div><div><br></div><div><br></div><div># Destinations</div><div>##############</div><div><br></div><div>destination d_cons { file("/dev/console"); };</div><div>destination d_mesg { file("/var/log/messages"); };</div><div>destination d_auth { file("/var/log/secure"); };</div><div>destination d_mail { file("/var/log/maillog" flush_lines(10)); };</div><div>destination d_spol { file("/var/log/spooler"); };</div><div>destination d_boot { file("/var/log/boot.log"); };</div><div>destination d_cron { file("/var/log/cron"); };</div><div>destination d_kern { file("/var/log/kern" ); };</div><div>destination d_mlal { usertty("*"); };</div><div><br></div><div><br></div><div># Filters</div><div>##########</div><div><br></div><div>filter f_kernel     { facility(kern); };</div><div>filter f_default    { level(info..emerg) and</div><div>                        not (facility(mail)</div><div>                        or facility(authpriv) </div><div>                        or facility(cron)); };</div><div>filter f_auth       { facility(authpriv); };</div><div>filter f_mail       { facility(mail); };</div><div>filter f_emergency  { level(emerg); };</div><div>filter f_news       { facility(uucp) or</div><div>                        (facility(news) </div><div>                        and level(crit..emerg)); };</div><div>filter f_boot   { facility(local7); };</div><div>filter f_cron   { facility(cron); };</div><div><br></div><div># Log Bindings</div><div>##############</div><div><br></div><div><br></div><div>#log { source(s_sys); filter(f_kernel); destination(d_cons); };</div><div>log { source(s_sys); filter(f_kernel); destination(d_kern); };</div><div>log { source(s_sys); filter(f_default); destination(d_mesg); };</div><div>log { source(s_sys); filter(f_auth); destination(d_auth); };</div><div>log { source(s_sys); filter(f_mail); destination(d_mail); };</div><div>log { source(s_sys); filter(f_emergency); destination(d_mlal); };</div><div>log { source(s_sys); filter(f_news); destination(d_spol); };</div><div>log { source(s_sys); filter(f_boot); destination(d_boot); };</div><div>log { source(s_sys); filter(f_cron); destination(d_cron); };</div><div><br></div><div><br></div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Thanks,<div>Vijay.</div></div></div></div>
</div></div></div>