Adicione uma regra para ele auditar.rules
-w /sbin/shutdown -p x -k power
Estou executando o AuditD no Centos 6.5.
Existe uma maneira de auditar reinicializações do servidor - quem e quando um servidor é reinicializado? Então, se eu fizer login e executar:
sudo reboot
Eu deveria ver uma entrada de log em /var/log/audit/audit.log com algo parecido com isto:
type=CMD msg=audit(1484758210.821:630): user pid=2361 uid=101 auid=101 subj=system_u:system_r:unconfined_t:s0-s0:c0.c1023 exe="/sbin/reboot"
Você também pode tentar analisar os registros se não puder ou não quiser configurar as regras de auditoria:
sudo grep sudo /var/log/auth.log
Todos os comandos do sudo executados estarão lá, então você pode encontrá-lo procurando 'reboot' ou 'shutdown'.