Você pode encontrar histórico relevante em /var/log/auth.log arquivos antigos armazenados como compactados em .gz . Contém informações de autorização do sistema, incluindo logins de usuários e mecanismos de autenticação que foram usados.
Você pode descobrir o arquivo da seguinte forma:
$ ls /var/log | grep -i auth
auth.log
auth.log.1
auth.log.2.gz
auth.log.3.gz
auth.log.4.gz
Exemplo: acabei de criar o usuário xyz e, em seguida, adicionei ao grupo sudo e o histórico relevante pode ser encontrado por:
$ cat /var/log/auth.log | grep -i xyz
Dec 18 18:54:51 pandya-desktop sudo: pandya : TTY=pts/2 ; PWD=/home/pandya ; USER=root ; COMMAND=/usr/sbin/useradd xyz
Dec 18 18:54:51 pandya-desktop useradd[7763]: new group: name=xyz, GID=1002
Dec 18 18:54:51 pandya-desktop useradd[7763]: new user: name=xyz, UID=1002, GID=1002, home=/home/xyz, shell=
Dec 18 18:55:51 pandya-desktop sudo: pandya : TTY=pts/2 ; PWD=/home/pandya ; USER=root ; COMMAND=/usr/sbin/usermod -a -G group xyz
Dec 18 18:55:57 pandya-desktop sudo: pandya : TTY=pts/2 ; PWD=/home/pandya ; USER=root ; COMMAND=/usr/sbin/usermod -a -G sudo xyz
Dec 18 18:55:57 pandya-desktop usermod[7872]: add 'xyz' to group 'sudo'
Dec 18 18:55:57 pandya-desktop usermod[7872]: add 'xyz' to shadow group 'sudo'
Você pode ver a linha Dec 18 18:55:57 pandya-desktop usermod[7872]: add 'xyz' to group 'sudo' so, Ela fornece o histórico de que, em Dec 18 18:55:57 , o usuário xyz é adicionado ao grupo sudo