Добрый день! Есть пользователь, который входит в группу wheel и имеет право на выполнение любых команд через sudo. Нужно иногда посмотреть какую sudo-команду он вводил. Я так понимаю что это всё пишется в /var/log/secure (Centos). Но этот же sudo-пользователь может сам же этот файл и почистить от ненужных логов, когда сделает какую-то пакость. Можно как-то разрешить этому пользователю делать всё, но запретить редактирование /var/log/secure. Или эта задача как то по другому решается?