Eu gostaria de entender como eu poderia retirar uma lista de usuários que foram adicionados com certos privilégios a um sistema Unix durante um certo período de tempo.
Agora, eu entendo uma maneira seria verificar a criação de diretórios home dos usuários específicos, mas eu entendo que os usuários poderiam ser criados com diretórios específicos já existentes como seu diretório home. Nesse caso, podemos não conseguir extrair o tempo exato de criação dos usuários para o sistema.
Você pode usar awk para filtrar novos usuários de /var/log/secure da seguinte forma: -
awk '/new\ user/ {gsub(/,|name=/,"",$8); print $1, $2, $3, $8}' /var/log/secure
Nota: sistemas Debian (eu acredito) usam /var/log/auth.log .