Где там файл журнала Linux, который предоставит информацию относительно удаленных учетных записей?

Посмотрите, имеете ли Вы /var/log/auth.log (и его вращения). Могут быть записи там для deluser. К сожалению, Вы не сказали, какое распределение Вы выполняете.

Linux по умолчанию не имеет никакого учета этого. Вы могли бы попытаться узнать, кто вошел в систему как корень, например, выполненный last и проверьте вывод. Кроме того, Вы могли бы просмотреть .bash_history всех пользователей (предполагающий, что удар является оболочкой по умолчанию всех пользователей) найти трассировки.

О, и это больше походит на Q для serverfault.

Нет никакого стандартного файла журнала для этого. В зависимости от Вашего распределения/конфигурации работают все команды, поскольку sudo мог бы быть зарегистрирован, таким образом, Вы смогли находить команду userdel в чем-то как auth.log при использовании Ubuntu.

Попробуйте/var/log/secure* - у Вас должна быть ценность нескольких недель входа там.

grep -i userdel /var/log/secure*

Проверьте историю оболочки корня или любого другого пользователя, который имеет корневой доступ.

Вы попытались послать электронное письмо всем пользователям, которые имеют разрешение сделать это на этом сервере? Иногда немного социальной инженерии идет далее, чем техническое решение.

Теперь сказавший, что это - серьезное основание не использовать общую корневую учетную запись, но использовать sudo, чтобы позволить пользователям делать задачи администрирования с помощью своей учетной записи. Поскольку все sudo действия зарегистрированы к /var/log/auth.log и сделали бы разыскивание этого довольно легким, если они внесли изменения на командной строке. Если бы gui приложение использовалось для внесения этих изменений всем, что Вы видели бы в файлах журнала, то было бы приложение, запускаемое с поднятыми полномочиями..., но любая операция, сделанная с тем приложением, не будет иметь никакой видимости.