¿Qué cadenas debo search en /var/log/auth.log?

Escribí un command bash para escanear /var/log/auth.log busca de posts que ocurran en el día actual que indiquen un acceso no autorizado. Actualmente solo recupera posts que coinciden con BREAK-IN y sin unauthorized .

¿Qué otras cadenas debo search en /var/log/auth.log para vigilar el acceso no autorizado?

Aquí está el script para reference:

 cat /var/log/auth.log|grep "$(date|awk '{print $2" "$3}')"|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)' 

Editar

Aquí está el command modificado basado en las sugerencias de Justins y lo que encontré a través de Google

 grep "$(date|awk '{print $2" "$3}')" /var/log/auth.log|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'