Os eventos de autorização do usuário geralmente são registrados pelo daemon de log do sistema em / var / log. Os locais padrão variam entre distros, mas geralmente é / var / log / auth, /var/log/auth.log, / var / log / secure. Eu não tenho um sistema Gentoo à mão, mas a instalação padrão costumava caracterizar o syslog-ng e registrar esses eventos em /var/log/auth.log.
Existem várias maneiras de auditar o tráfego de rede, o melhor depende do nível de detalhe que você precisa reter e do tipo de equipamento adicional que você pode usar para realizar o monitoramento.
Se você estiver preocupado com o risco de comprometimento em um sistema, deve considerar encaminhar qualquer solução de auditoria escolhida para outro sistema inacessível (exceto para registro) daquele que estiver monitorando. Os invasores bem sucedidos provavelmente removeriam evidências de sua violação dos sistemas de registro locais.