Você pode usar " last " para verificar. Ele mostra quando o sistema foi reinicializado e quem efetuou login e logout.
Da página de manual:
last, lastb - show listing of last logged in users
Alguém reiniciou nosso servidor Linux e quero descobrir qual usuário fez isso.
Pode haver vários usuários neste servidor com privilégios sudo. Há algum arquivo de registro específico que rastreie o usuário que foi reinicializado da última vez?
Edit: Estou usando o Red Hat 6.3
Se seus usuários precisarem usar o sudo para reinicializar o servidor, você poderá localizar quem fez isso procurando no arquivo de log relevante. Para o CentOS, como distros, procure em /var/log/secure e, para o Ubuntu, procure em /var/log/auth log .
Se você estiver usando um sistema operacional ou uma distribuição diferente, poderá rastrear o arquivo de log lendo a man page do sudoers, que contém informações sobre o recurso de log usado por padrão e como alterá-lo. Armado com isso você pode verificar sua configuração do syslog ...
Todo sistema Linux / Unix possui uma variedade de / var / log / secure.
Para o Ubuntu, como estou supondo que você esteja usando, tente /var/log/auth.log.
Eu sugeriria:
sudo grep sudo /var/log/auth.log
Você obterá resultados semelhantes a:
Mar 16 13:40:38 hostname sudo: username : TTY=pts/10 ; PWD=/home/username ; USER=root ; COMMAND=/bin/bash