В sudo есть замечательная фича - логирование ввода/вывода всего, что делает пользователь.
Включаем логирование LOG_INPUT:LOG_OUTPUT
# /etc/sudoers.d/ansible
ansible ALL=(ALL) NOPASSWD:LOG_INPUT:LOG_OUTPUT: /bin/sh -c echo\ BECOME-SUCCESS-[a-z]*\ ;\ /usr/bin/python3
Теперь всё что делает пользователь через sudo логируется. По дефолту логи пишутся в /var/log/sudo-io, но можно и поменять
# /etc/sudoers
Defaults log_output
Defaults iolog_dir=/var/log/sudo-io
Просмотр сессии
# вывести все сессии
sudoreplay -l user ansible
Jan 21 05:03:23 2026 : ansible : HOST=qadro-1 ; CWD=/home/ansible ; USER=root ; TSID=00/01/5W ; COMMAND=/bin/sh -c echo BECOME-SUCCESS-pvbadwlaiykgkvamphxervazgnbfypji ; /usr/bin/python3
Jan 21 05:03:23 2026 : ansible : HOST=qadro-1 ; CWD=/home/ansible ; USER=root ; TSID=00/01/5X ; COMMAND=/bin/sh -c echo BECOME-SUCCESS-ctkhcyneyuapwotnsmdcmaolyrkebjai ; /usr/bin/python3
# вывести сессию 00/01/5X
sudoreplay 00/01/5X
...
# или посмотреть в нужный файл
# ll /var/log/sudo-io/00/01/5X
total 164K
drwx------ 2 root root 4.0K Jan 21 05:03 ./
drwx------ 218 root root 4.0K Jan 21 05:03 ../
-rw------- 1 root root 136 Jan 21 05:03 log
-rw------- 1 root root 915 Jan 21 05:03 log.json
-rw------- 1 root root 25 Jan 21 05:03 stderr
-rw------- 1 root root 128K Jan 21 05:03 stdin
-rw------- 1 root root 382 Jan 21 05:03 stdout
-r-------- 1 root root 94 Jan 21 05:03 timing
-rw------- 1 root root 25 Jan 21 05:03 ttyin
-rw------- 1 root root 25 Jan 21 05:03 ttyout