অ্যাকাউন্ট তৈরি হতে পারে। লিনাক্সের অধীনে (যদি সাধারণ ছায়া ইউটিলিটি স্যুট ব্যবহার করা হয়), useraddসুবিধার অধীনে লগ এন্ট্রি করে auth.info। এই লগটি সাধারণত অবস্থিত /var/log/secureবা /var/log/auth.log(এটি বিতরণের উপর নির্ভর করে)।
আপনি নিজের ব্যাকআপগুলি যাচাই করতে পারেন /etc/passwdএবং দেখতে পারেন যে কোনও অ্যাকাউন্টে নেই এমন কনিষ্ঠতম ব্যাকআপ। আমি পরিবর্তনগুলি পরিবর্তন করে রাখার জন্য ইত্যাদি ব্যবহারকারীর পরামর্শ এবং পরামর্শ দিচ্ছি/etc , সুতরাং git annotate /etc/passwdআমাকে উত্তরটি দেবে। (প্রকৃতপক্ষে git annotateআমাকে ব্যবহারকারীর প্রবেশের সময়টি পরিবর্তন করার সময় আমাকে বলবে; যার উত্তর অটোমেশনটির উত্তরের বাইরে নেই, সে সম্পর্কে আরও কিছু খনন করা আমাকে বলবে যে এন্ট্রিটি যুক্ত করা হয়েছিল।)
আপনার যদি অডিট লগ, ব্যাকআপ এবং পুনর্বিবেচনার ইতিহাসের অভাব থাকে তবে আপনাকে হিউরিস্টিক্সের অবলম্বন করতে হবে। একটি ভাল ক্লু ফাইলটি যার ইনোড পরিবর্তনের সময়টি (সিটিটাইম) সবচেয়ে প্রাচীন। এই হিউরিস্টিক উভয় উপায়ে মিথ্যা বলতে পারে: যদি কোনও ডিরেক্টরি ব্যবহারকারীর বাড়ীতে স্থানান্তরিত হয় তবে এতে একটি পুরানো সিটাইমযুক্ত ফাইল থাকতে পারে (তবে তাদের ব্যবহারকারীর চেয়ে বয়স্ক হওয়ার জন্য, তাদের ইউআইডিটি পরিবর্তিত হিসাবে ব্যবহারকারীর মতো হবে না uid এর সিটিটাইম আপডেট করা জড়িত, যাতে আপনি সেই ফাইলগুলি এড়িয়ে যেতে পারেন যা ব্যবহারকারীর মালিকানাধীন নয়); বিপরীতে, কিছু ইভেন্ট একটি ফাইলের সিটাইমে পরিবর্তন করতে পারে (যেমন পুরো সিস্টেমটি ব্যাকআপ থেকে পুনরুদ্ধার করা হয়)। আপনি ব্যবহারকারীর হোম ডিরেক্টরি থেকে শুরু করতে পারেন ( ls -Alctr ~bob| সেড-এন 2 পি), এতে এমন ফাইল থাকতে পারে যা /etc/skelব্যবহারকারী কখনও সংশোধন করেনি ( .bash_logoutএকটি সাধারণ), এবং দেখুন যে এতে পুরানো ফাইল রয়েছে কিনা find ~bob ! -cnewer ~bob/.bash_logout -user bob। Zsh সহ, চালানls -ld ~bob/**/*(Doc[1]u:bob:)।
/var/log/auth.log(আপনি পাশাপাশি আবর্তিত লগ সন্ধান করার জন্য প্রয়োজন হতে পারে:/var/log/auth.log.1,/var/log/auth.log.2.gz, ...)। এটি আপনাকে ব্যবহারকারীর অ্যাকাউন্টের অনুমোদনের প্রথম তারিখ হিসাবে একটি সূত্র দেবে। যদিও এটি সিস্টেম ব্যবহারকারীদের পক্ষে কাজ করবে না এবং এটির ব্যর্থতা যদি অ্যাকাউন্টগুলিরsyslogলগ রোটেশন সময়কালের চেয়ে বেশি সময় আগে তৈরি করা হত ।