Em sistemas Linux baseados em redhat como centos ou fedora, está em:
/var/log/secure
e para sistemas baseados no debian como o ubuntu está em:
/var/log/auth.log
Quando alguém não está no grupo sudoers e tenta usar o sudo, receba uma mensagem de erro como esta:
yzT is not in the sudoers file. This incident will be reported.
Estou tentando descobrir em qual log essa informação está registrada, para verificar quem tentou executar um comando com o sudo, por exemplo, mas não consegue encontrá-lo.
A primeira pesquisa do Google diz /var/log/syslog , mas não vejo nenhuma informação relacionada ao sudo lá.
Não importa, é em /var/log/auth.log .
no Fedora está em /var/log/audit/audit.log