Em ordem crescente de complexidade, eu verifico as opções de configuração rootsh
ou sudo
LOG_OUTPUT
, ou auditd
. A última opção é realmente a mais completa, especialmente se você quiser registrar o comando every dessa pessoa, mesmo que não seja root.