As informações de quem efetuou login quando está disponível em /var/log/auth.log
(ou outros arquivos de log em outras distribuições). Existem vários programas de monitoramento de log que podem extrair as informações que você configura como relevantes. Em qualquer sistema sane, toda autenticação de usuário é registrada.
Para registrar todas as invocações de comandos (mas não seus argumentos), use contabilidade de processos , desde pelo acct
package noUbuntu.Seosubsistemadecontabilidadeestiverativoeemexecução,olastcomm
exibe informações sobre processos concluídos.