Arquivos de logs
Rode o comando "last" e "who /var/adm/wtmp" regularmente.
Verifique os arquivos de auditoria regularmente
Verifique o arquivo sulog.
Verifique os arquivo gerados pelos Daemos com: xferlog (ftpd) syslog (syslogd) messages (syslogd) access_log (httpd)
OBS: o /etc/syslog.conf permite uma grande varideade de possibilidades de log, e de arquivos para contê-los