Puoi usare "last " da controllare. Mostra quando è stato riavviato il sistema e chi ha effettuato l'accesso e chi si è disconnesso.
Dalla manpage:
last, lastb - show listing of last logged in users
Se i tuoi utenti devono utilizzare sudo per riavviare il server, dovresti essere in grado di trovare chi l'ha fatto guardando nel file di registro pertinente. Per CentOS come le distribuzioni guarda in /var/log/secure e per Ubuntu come guarda in /var/log/auth log .
Se stai utilizzando un sistema operativo o una distribuzione diversi, puoi rintracciare il file di registro leggendo la pagina man sudoers che contiene informazioni sulla funzione di registro utilizzata per impostazione predefinita e su come modificarla. Grazie a ciò puoi controllare la configurazione del tuo syslog ...
Ogni sistema Linux/unix ha una varietà di /var/log/secure.
Per Ubuntu, come immagino tu stia usando, prova /var/log/auth.log.
Suggerirei:
sudo grep sudo /var/log/auth.log
Otterrai risultati simili a:
Mar 16 13:40:38 hostname sudo: username : TTY=pts/10 ; PWD=/home/username ; USER=root ; COMMAND=/bin/bash