сомневаюсь, что такое возможно (в RH пятой? o.O) по умолчанию.

командой last ( man last ) можно только узнать, кто в интересующий Вас момент времени был залогинен под рутом..

..и пойти допросить нужного человека

у Вас, наверное, logrotate эти логи обрабатывает. я, к сожалению, не могу сейчас посмотреть "как это бывает" в красношляпе, но поищите файлы, похожие на /var/log/wtmp с какой-то цифрой

-f как раз для того, чтобы указывать, какой файл обрабатывать.

по-моему, last'у надо все-таки указывать момент времени вместе с секундами.
попробуйте поиграться с числом строк, без времени. если найдете, а строк будет много, то проще всего сделать
так как last выводит сначала самые свежие записи (название как бы намекает)

числа подбираются эмпирически, конечно же.