As falhas de autenticação SSH são registradas por padrão em /var/log/auth.log.
Você ainda deve ver falhas de autenticação registradas após as alterações descritas - algo mais deve ter sido alterado. Eu tenho o login de raiz totalmente desativado e a autenticação baseada em chave apenas com senhas desativadas para contas de usuário. Ainda vejo algumas falhas por hora no auth.log antes de serem bloqueadas com o fail2ban.
Serviços bem projetados registrarão falhas de autenticação com o recurso syslog auth e também serão registrados aqui. É uma boa prática exportar seus logs para um servidor de syslog remoto para dificultar que um invasor oculte sua invasão se conseguir root.
Em um sentido mais geral, "tentativas de invasão" é um termo muito vago para essa questão. Isso pode significar qualquer coisa, desde injeção de SQL a buffer overflows. As tentativas de invasão podem ser sutis e difíceis ou impossíveis de distinguir do tráfego legítimo. Você não pode detectar todos os ataques.