auditd auid изменения после su

Я пытаюсь реализовать отдельную отслеживаемость для своих систем RHEL с помощью selinux и audit.log. Я следовал инструкциям, данным здесь: Зарегистрируйте все команды, выполненные администраторами на рабочих серверах

Если я понимаю это правильно, pam_loginuid.so должен сохранить UID, который использовался, чтобы войти и установить его как AUID в файле audit.log. К сожалению, это не работает после su. Когда я вхожу в систему и называю кошку/proc/self/loginuid, она отображает мой корректный UID. Если я вызываю sudo su - и называю кошку/proc/self/loginuid снова, это отображается 0. Также идентификатор 0 используется в audit.log в качестве AUID для команд, которые я вызываю после sudo su-.

Что я делаю неправильно здесь?

Вот мой pam.d/sshd файл:

auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
session    optional     pam_keyinit.so revoke
session    required     pam_loginuid.so
session    include      system-auth

Я включил audit=1 в/etc/grub.conf и отредактировал/etc/audit/audit.rules, как описано в сообщении выше.