Redémarrage du serveur d'audit Linux

J'utilise AuditD sur Centos 6.5.

Existe-t-il un moyen de vérifier les redémarrages du serveur - qui et quand un serveur est redémarré? Donc, si je me connecte et lance:

sudo reboot 

Je devrais voir une entrée de journal dans /var/log/audit/audit.log avec quelque chose comme ceci:

type=CMD msg=audit(1484758210.821:630): user pid=2361 uid=101 auid=101 subj=system_u:system_r:unconfined_t:s0-s0:c0.c1023 exe="/sbin/reboot"

Ajouter une règle pour qu'elle soit audit.rules

-w /sbin/shutdown -p x -k power

Vous pouvez également essayer de consulter les journaux si vous ne pouvez pas ou ne voulez pas configurer les règles d'audit:

sudo grep sudo /var/log/auth.log

Toutes les commandes sudo exécutées seront là, vous pourrez donc les trouver en recherchant «redémarrage» ou «arrêt».