Anexando bien su pregunta y la respuesta de OLI si está en una computadora portátil , también puede verificarlo seleccionando el contenido exacto como
sudo cat /var/log/auth.log | grep "Lid opened"
o
sudo cat /var/log/auth.log | grep "Lid closed"
y si él / ella realiza algún tipo de actividad a través del permiso de sudo
sudo cat /var/log/auth.log | grep "session opened for user root"
o
sudo cat /var/log/auth.log | grep "session closed for user root"
Le dará información adicional sobre lo que desea saber sobre el usuario que inició sesión en su sistema sin su permiso :) :)
last
en la terminal