как провести аудит перезагрузки?

в Linux вам понадобится auditd демон работает. Я считаю, что это обычно по умолчанию.

# this will work for both the older sysinit linux as well as newer systemd linux

service auditd [start | stop | status]

имеющий значение по умолчанию audit.conf и audit.rules файл, я считаю, поместит достаточно информации в /var/log/audit/audit.log где легко узнать перезагрузку. Таким образом, вам не нужно вручную добавлять какие-либо специальные правила аудита.

Необработанный журнал аудита linux ... необработанный ... не читаемый человеком. Дата в формате эпохи. Однако если бы вы сделали это

service auditd stop
rm /var/log/audit/audit.log
service auditd start
reboot

login in
immediately edit audit.log to see what happened before it fills up making it harder to see

В начале этого журнала audit.log будет показано, что именно записывается в журнал при перезагрузке и что происходит при загрузке. Вы должны легко его распознать, все это будет в верхней части нового файла audit.log. И это, вероятно, будет стоить 50+ строк, я знаю, например, что он использует rhel 7. Я не уверен, можно ли определить, что перезагрузка происходит в одной строке в audit.log.

Я не уверен, зависит ли синтаксис этого необработанного журнала аудита от дистрибутива Linux, и, вероятно, он зависит от различных версий аудита. Вот почему было бы лучше специально посмотреть на вашу систему, чтобы узнать, что это такое.

Для обработки даты этой эпохи в журнале аудита:

https://unix.stackexchange.com/questions/2987/how-do-i-convert-an-epoch-timestamp-to-a-human-readable-format-on-the-cli