Toda vez que o sudo é chamado, ele registra o comando executado no syslog, portanto, eu recomendaria apenas instalar o logwatch. Por padrão, ele vem com filtros / agregadores para analisar entradas de sudo e pode enviar relatórios por e-mail diariamente.
Você pode precisar escrever um filtro de logwatch personalizado para diferenciar seus dois conjuntos diferentes de comandos.
Se você precisar de notificação instantânea de comandos do sudo, poderá usar o módulo de saída de e-mail com o rsyslog. Você precisará aplicar filtros para que apenas mensagens sudo sejam enviadas para este módulo, para que você não acorde de manhã com 10k mensagens na sua caixa de entrada.