<div dir="ltr">sudo is what is logging not the shell.  <div>Either use sudo as root or disable users from using root by binding it to console login only or look at auditd. </div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 10, 2017 at 7:33 PM, vijay amruth <span dir="ltr"><<a href="mailto:vijayamruth@gmail.com" target="_blank">vijayamruth@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello everyone, here is is my configuration file, I am unable to track root activity, I am able to track user activity like the commands ran etc. <div><br></div><div>For example: If I run a command as sudo, I see it in the log however the same command when switched to root is not being tracked. </div><div><br></div><div>Any help is appreciated. Thank you.<div><br></div><div><br></div><div><div>@version:3.9</div><div>@include "scl.conf"</div><div><br></div><div><br></div><div>options { threaded(yes); };</div><div><br></div><div><br></div><div><div>source s_sys {</div><div>unix-stream("/dev/log");</div><div>    system();</div><div>    internal();</div></div><div>    </div><div>};</div><div><br></div><div><br></div><div># Destinations</div><div>##############</div><div><br></div><div>destination d_cons { file("/dev/console"); };</div><div>destination d_mesg { file("/var/log/messages"); };</div><div>destination d_auth { file("/var/log/secure"); };</div><div>destination d_mail { file("/var/log/maillog" flush_lines(10)); };</div><div>destination d_spol { file("/var/log/spooler"); };</div><div>destination d_boot { file("/var/log/boot.log"); };</div><div>destination d_cron { file("/var/log/cron"); };</div><div>destination d_kern { file("/var/log/kern" ); };</div><div>destination d_mlal { usertty("*"); };</div><div><br></div><div><br></div><div># Filters</div><div>##########</div><div><br></div><div>filter f_kernel     { facility(kern); };</div><div>filter f_default    { level(info..emerg) and</div><div>                        not (facility(mail)</div><div>                        or facility(authpriv) </div><div>                        or facility(cron)); };</div><div>filter f_auth       { facility(authpriv); };</div><div>filter f_mail       { facility(mail); };</div><div>filter f_emergency  { level(emerg); };</div><div>filter f_news       { facility(uucp) or</div><div>                        (facility(news) </div><div>                        and level(crit..emerg)); };</div><div>filter f_boot   { facility(local7); };</div><div>filter f_cron   { facility(cron); };</div><div><br></div><div># Log Bindings</div><div>##############</div><div><br></div><div><br></div><div>#log { source(s_sys); filter(f_kernel); destination(d_cons); };</div><div>log { source(s_sys); filter(f_kernel); destination(d_kern); };</div><div>log { source(s_sys); filter(f_default); destination(d_mesg); };</div><div>log { source(s_sys); filter(f_auth); destination(d_auth); };</div><div>log { source(s_sys); filter(f_mail); destination(d_mail); };</div><div>log { source(s_sys); filter(f_emergency); destination(d_mlal); };</div><div>log { source(s_sys); filter(f_news); destination(d_spol); };</div><div>log { source(s_sys); filter(f_boot); destination(d_boot); };</div><div>log { source(s_sys); filter(f_cron); destination(d_cron); };</div><span class="HOEnZb"><font color="#888888"><div><br></div><div><br></div><div><br></div>-- <br><div class="m_-790186363115563331gmail_signature"><div dir="ltr"><div>Thanks,<div>Vijay.</div></div></div></div>
</font></span></div></div></div>
<br>______________________________<wbr>______________________________<wbr>__________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/<wbr>mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/<wbr>support/documentation/?<wbr>product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/<wbr>syslog-ng-faq</a><br>
<br>
<br></blockquote></div><br></div>