uma boa pratica seria voce proibir o login direto como root, aí voce cria um usuario para cada administrador.
no arquivo /var/log/secure voce tem o log de qual usuario passou para root, por aí da pra ter uma ideia melhor de quem e quando entrou como root.

um exemplo de entrada nesse arquivo de log é:
Oct 9 17:48:05 host su[3257]: + pts/0 patrick-root