Puedes usar "last " para verificar. Muestra cuándo se reinició el sistema y quiénes iniciaron y cerraron sesión.
De la página de manual:
last, lastb - show listing of last logged in users
Si sus usuarios tienen que usar sudo para reiniciar el servidor, entonces debería poder encontrar quién lo hizo buscando en el archivo de registro relevante. Para distribuciones similares a CentOS, busque en /var/log/secure y para Ubuntu como buscar en /var/log/auth log .
Si está utilizando un sistema operativo o distribución diferente, puede rastrear el archivo de registro leyendo la página del manual de sudoers que contiene información sobre la función de registro que se usa de manera predeterminada y cómo cambiarla. Armado con eso, puede verificar su configuración de syslog ...
Cada sistema Linux/unix tiene una variedad de /var/log/secure.
Para Ubuntu, como supongo que estás usando, prueba /var/log/auth.log.
Sugeriría:
sudo grep sudo /var/log/auth.log
Obtendrá resultados similares a:
Mar 16 13:40:38 hostname sudo: username : TTY=pts/10 ; PWD=/home/username ; USER=root ; COMMAND=/bin/bash