Você pode usar awk
para filtrar novos usuários de /var/log/secure
da seguinte forma: -
awk '/new\ user/ {gsub(/,|name=/,"",$8); print $1, $2, $3, $8}' /var/log/secure
Nota: sistemas Debian (eu acredito) usam /var/log/auth.log
.