Anda dapat menggunakan "last " untuk memeriksa. Ini menunjukkan kapan sistem di-boot ulang dan siapa yang masuk dan keluar.
Dari halaman manual:
last, lastb - show listing of last logged in users
Jika pengguna Anda harus menggunakan sudo untuk mem-boot ulang server, maka Anda harus dapat menemukan siapa yang melakukannya dengan melihat file log yang relevan. Untuk distro seperti CentOS lihat di /var/log/secure dan untuk Ubuntu seperti lihat di /var/log/auth log .
Jika Anda menggunakan OS atau distro yang berbeda, Anda dapat melacak file log dengan membaca halaman manual sudoers yang berisi informasi tentang fasilitas log yang digunakan secara default dan cara mengubahnya. Berbekal itu Anda dapat memeriksa konfigurasi syslog Anda ...
Setiap sistem Linux/unix memiliki beragam /var/log/secure.
Untuk Ubuntu, seperti yang saya duga Anda gunakan, coba /var/log/auth.log.
Saya akan menyarankan:
sudo grep sudo /var/log/auth.log
Anda akan mendapatkan hasil yang mirip dengan:
Mar 16 13:40:38 hostname sudo: username : TTY=pts/10 ; PWD=/home/username ; USER=root ; COMMAND=/bin/bash