Normalmente, um usuário normal só tem acesso ao comando de desligamento por meio dos comandos sudo e sudo (geralmente) registrados em /var/log/ . A linha pode se parecer com:
Dec 7 19:58:08 SomeHost sudo: jimbob : TTY=tty1 ; PWD=/home/jimbob ; USER=root ; COMMAND=/sbin/shutdown -h -t 5 now
Este exemplo mostra que o desligamento em 7 de dezembro foi causado pelo usuário jimbob.
Como a prioridade do syslog é padronizada como "aviso" (uma prioridade baixa) para comandos bem sucedidos , você não verá essas entradas a menos que tenha um arquivo de log configurado para salvar essas mensagens quando enviado da facilidade "authpriv".
Tudo sobre sudo e syslog é configurável. Assim, você pode ter que procurar em seu sistema e / ou ajustar as coisas para encontrar essas mensagens.