Auditd e um servidor de syslog remoto, como usuário root poderia alterar qualquer registro local.
Mais alguns detalhes podem ser encontrados aqui .
É melhor usar logs auditd ou sudo para registrar a raiz e outras atividades do usuário em uma máquina da Red Hat?