Esta es la contestación más válida que te podemos aportar, sin embargo estúdiala pausadamente y valora si se puede adaptar a tu proyecto.
Solución:
Puedes usar “last” para verificar. Muestra cuándo se reinició el sistema y quiénes iniciaron y cerraron sesión.
De la página de manual:
last, lastb - show listing of last logged in users
Si sus usuarios tienen que usar sudo para reiniciar el servidor, entonces debería poder encontrar quién lo hizo buscando en el archivo de registro relevante. Para CentOS como distribuciones busque en /var/log/secure y para Ubuntu como buscar en /var/log/auth log.
Si está utilizando un sistema operativo o distribución diferente, puede rastrear el archivo de registro leyendo la página del manual de sudoers que contiene información sobre la función de registro que se usa de manera predeterminada y cómo cambiarla. Armado con eso, puede verificar su configuración de syslog …
Cada sistema Linux/unix tiene una variedad de /var/log/secure.
Para Ubuntu, como supongo que está usando, intente /var/log/auth.log.
Yo sugeriría:
sudo grep sudo /var/log/auth.log
Obtendrá resultados similares a:
Mar 16 13:40:38 hostname sudo: username : TTY=pts/10 ; PWD=/home/username ; USER=root ; COMMAND=/bin/bash
Si estás contento con lo expuesto, puedes dejar un artículo acerca de qué te ha parecido esta crónica.