Quando você criar uma nova aparência de usuário em /var/log/auth.log ; os detalhes estão lá. Acabei de criar um novo usuário jim executando sudo adduser jim , por exemplo, e isso é no final de auth.log (removi a data e o nome do host do início do log):
sudo: mike : TTY=pts/2 ; PWD=/home/mike ; USER=root ; COMMAND=/usr/sbin/adduser jim
sudo: pam_unix(sudo:session): session opened for user root by mike(uid=1000)
groupadd[1731]: group added to /etc/group: name=jim, GID=1001
groupadd[1731]: group added to /etc/gshadow: name=jim
groupadd[1731]: new group: name=jim, GID=1001
useradd[1735]: new user: name=jim, UID=1001, GID=1001, home=/home/jim, shell=/bin/bash
passwd[1742]: pam_unix(passwd:chauthtok): password changed for jim
passwd[1742]: gkr-pam: couldn't update the login keyring password: no old password was entered chfn[1743]: changed user 'jim' information
sudo: pam_unix(sudo:session): session closed for user root
Esse registro em particular é muito útil, pois registra todo o uso de privilégios elevados, como a criação de um usuário, executando Synaptic , etc, e também observa quem fez isso.