да знаю, что "правильно заданный вопрос содержит в себе половину ответа"
настраивать ничего не надо, я сам справлюсь.
скажи, как логировать ВСЕ действия root пользователя системы после успешного входа.
А дальше я сам справлюсь ;) (аналитически)
"ВСЕ" это не определение. Если журналировать все действия, то журналирование под них тоже попадает. Да и дисков не хватит сохранять все пакеты, например. Почитайте что-нибудь на тему аудита в Линукс.