Isso é um pouco da situação Catch 22 . Se você for root, poderá inspecionar os arquivos de log, mas ninguém mais poderá expulsá-lo. Mas se você não for root e alguém puder expulsá-lo, você não poderá inspecionar os arquivos de log.
De qualquer forma, o arquivo de log a ser inspecionado é /var/log/auth.log , que mostrará quem, se alguém, estava logado como root no momento do seu chute .
O seguinte comando
grep -nrI "session closed for user YourName" /var/log
fornecerá uma lista de suas desconexões, abrangentes de horários e datas exatas, que você pode relacionar de forma cruzada com a presença / ausência de cada usuário em seu sistema.
Você também pode inspecionar os arquivos de log do sistema, como / var / log / dmesg e / var / log / syslog , para eventos ocorridos no momento de suas desconexões. se você está lidando com bugs ao invés de mal.
EDITAR:
Desculpe, eu esqueci que você disse RedHat.
As distribuições da família Red Hat (incluindo o CentOS e o Fedora) usam / var / log / messages e / var / log / secure onde as distribuições da família Debian usam / var / log / syslog e /var/log/auth.log. / p>