Estou familiarizado com o uso log show | grep 'sshd: error: PAM: authentication error for $user from $ip_address'para examinar tentativas de logon malsucedidas de vários endereços IP.
Existe um log equivalente que é gravado sempre que uma conexão SSH bem-sucedida é estabelecida e autenticada (idealmente, conteria informações sobre o endereço IP do cliente).
Examinei meus arquivos de log e não parece haver logs que registrem logins bem-sucedidos.
Responder1
Os logins SSH bem-sucedidos são registrados, por exemplo, /var/log/auth.logcom:
sshd[20007]: Accepted password for username from 192.0.2.123 port 60979 ssh2
sshd[20007]: pam_unix(sshd:session): session opened for user username by (uid=0)
systemd-logind[613]: New session 12345 of user username.
Ou, no caso de autenticação de chave pública:
sshd[20008]: Accepted publickey for username from 192.0.2.123 port 50460 ssh2