Не скажу за SUSE, а в Убунте
grep useradd auth.log | grep "UID=0"
Это буквально о создании пользователя с правами рута. Права на sudo могут быть у обычного пользователя (без UID=0).
Также это касается и выдачи прав (sudo)
Скажем так, логируется использование sudo.
grep sudo auth.log
Выяснить, имеет ли пользователь права на sudo, можно следующим образом.
Файл /etc/sudoers покажет, каким пользователям и группам разрешено sudo. Посмотреть группы пользователя:
groups имяпользователя
Фикус-пикус в том, что создать пользователя и\или добавить пользователя в группу можно и не пользуясь штатными командами useradd, groupadd, а вместо этого вручную редактируя файлы /etc/passwd, /etc/group, /etc/shadow, /etc/gshadow. Легко отследить по логам то, что никто не пытается скрыть или запутать. Для остального к логам приходится добавлять голову, т.к. готовых рецептов на всё на свете нет и каждый конкретный случай может потребовать индивидуального подхода в расследовании.
