El archivo log predeterminado donde se encuentran el comando sudo se registra en el archivo /var/log/auth.log. Tenerlo separado es mucho más fácil auditar y tener más organizado tu sistema.

Obs:

•  Utilizo Debian Buster de 64 bits.

Entramos a la terminal y tecleamos lo siguiente:

sudo visudo

Al final de la línea agregamos lo siguiente:

Defaults syslog=local1

Guardamos el cambio (control + o) y luego cerramos el editor (control + x). Volvemos a teclear en la terminal:

sudo nano /etc/rsyslog.conf

En la línea 61 cambios lo que se encuentra en negrita.

[...]
local1.*                        /var/log/sudo.log
auth,authpriv.*;local1.none     /var/log/auth.log
[...]

Guardamos el cambio (control + o) y luego cerramos el editor (control + x). Volvemos a teclear en la terminal:

sudo systemctl restart rsyslog

Volvemos a teclear en la terminal para verificar si se creo el archivo /var/log/sudo.log

sudo apt update
ls -lh /var/log/sudo.log

Sale por pantalla:

-rw-r----- 1 root adm 118 may  6 02:15 /var/log/sudo.log

Volvemos a teclear en la terminal:

sudo cat /var/log/sudo.log

Sale por pantalla:

May  6 02:15:41 pantanoNegro sudo: proyectosbeta : TTY=pts/1 ; PWD=/var/log ; USER=root ; COMMAND=/usr/bin/apt update
May  6 02:17:16 pantanoNegro sudo: proyectosbeta : TTY=pts/1 ; PWD=/var/log ; USER=root ; COMMAND=/usr/bin/cat /var/log/sudo.log

Fuente: OSTechNix