Я использую auditd инструмент для управления журналом. Интересно это возможный найти попытку в удалении использования журнала auditd.
auditd
И также способ найти попытку неправильного пароля?
ausearch -i -f /path/to/logfile