Dependendo da sua distro; simplesmente:
$ sudo grep sudo /var/log/secure
ou
$ sudo grep sudo /var/log/auth.log
que dá:
Nov 14 09:07:31 vm1 sudo: pam_unix(sudo:auth): authentication failure; logname=gareth uid=1000 euid=0 tty=/dev/pts/19 ruser=gareth rhost= user=gareth
Nov 14 09:07:37 vm1 sudo: gareth : TTY=pts/19 ; PWD=/home/gareth ; USER=root ; COMMAND=/bin/yum update
Nov 14 09:07:53 vm1 sudo: gareth : TTY=pts/19 ; PWD=/home/gareth ; USER=root ; COMMAND=/bin/grep sudo /var/log/secure
O usuário que está executando o comando está após o sudo: - gareth neste caso.
PWD é o diretório.
USER é o usuário que gareth está executando como - root neste exemplo.
COMMAND é o comando executado.
Portanto, no exemplo acima, gareth usou sudo para executar yum update e, em seguida, executou este exemplo. Antes disso, ele digitou a senha incorreta.
Em sistemas mais recentes:
$ sudo journalctl _COMM=sudo
fornece um resultado muito semelhante.