調査途中なのだけれど、
audit_user に妙なことを書いていないかどうか確認を。
「端末 ID (ポート ID、マシン ID)」 – 端末 ID は、ホスト名とインターネットアドレスで構成され、そのあとにユーザーがログインした物理デバイスを識別する一意の番号が続きます。通常、ログインはコンソールから行われ、そのコンソールデバイスに対応する番号は 0 になります。
とわざわざ記述してるのが謎。
コンソールからではない login は default で監査しないようになってるんじゃないかとか、仮想ttyが全部監査対象外になってるんじゃないかとか…
お役に立てずすみません。
audit_userは未編集ですが、この記述には全く気付きませんでした。BSMの監査対象について今一度調べてみます。ありがとうございます。