Não da linha de comando, mas talvez de outro script de inicialização. Nos velhos e maus dias, um comando como
$ sudo bash -c "find / -xdev -type f -print0 -size -1M | xargs -0 grep rsyslog"
ou, mais provavelmente
$ sudo bash
# find / -xdev -type f -print0 -size -1M | xargs -0 grep rsyslog
passará por todos os arquivos no sistema procurando arquivos simples que contenham a string desejada. A opção -mount em find mantém-na fora de / proc, e atualmente o grep é inteligente o suficiente para notar quando o arquivo parece ser um arquivo binário que contém a string. -print0 e a opção -0 para xargs trabalham juntos e asseguram que arquivos com caracteres ímpares, espaços, por exemplo, que poderiam confundir o analisador, sejam tratados apropriadamente. E "-size -1M" garante que apenas arquivos com um megabyte ou menores sejam vistos - arquivos maiores que o que você não está interessado - o rsyslog provavelmente será iniciado a partir de um script.
Existe uma outra possibilidade, é claro, e é que o programa é iniciado remotamente. Eu posso facilmente imaginar alguém iniciando o rsyslog a partir de um script ssh que está ligado a uma chave em particular, que faz apenas essa coisa, pode até não permitir que você obtenha um shell, pois você executa o syslogd quando a máquina é suposta para receber os syslogs está lá para levá-los.
Um comando como pstree pode mostrar o que é o que é filho, e embora seja fácil sair do seu pai para que você seja herdado pelo init,