色々なページを調べるとauditdを動かしてpam_tty_audit.soを設定に加えると全ての入力が全て記録されると書いてある。(execveではbashの内部コマンドであるcdが記録されない、それを記録しようとするとpam_tty_audit.soになる)
その内容はあちこちに書かれているので省略する。
超重要なのは「コマンドが16進数エンコードされてaudit.logに現れる」ということ。
設定追加して試してもうまく記録されていないように見えてしまう。
確認するにはコマンド入力したあとaureport --ttyすればデコードしてコマンドが記録されていることを確認できる。