Eu tenho a mesma versão do i3lock e vejo que em /var/log/auth.log há informações sobre autenticações concedidas ou com falha.
Por exemplo:
/var/log/auth.log:Jan 13 09:09:22 **** adclient[1565]: INFO AUDIT_TRAIL|Centrify Suite|PAM|1.0|101|PAM authentication denied|5|user=dave(type:ad,dave@dave) pid=12337 utc=1484294962044 status=DENIED service=i3lock tty=(none) client=(none) reason=Authentication failure
/var/log/auth.log:Jan 13 09:09:29 *** adclient[1565]: INFO AUDIT_TRAIL|Centrify Suite|PAM|1.0|100|PAM authentication granted|5|user=dave(type:ad,dave@dave) pid=12337 utc=1484294969896 status=GRANTED service=i3lock tty=(none) client=(none)
Então, eu acho que seria fácil criar um deamon simples, procurar por "status = DENIED service = i3lock" em /var/log/auth.log e tomar alguma ação sobre isso.
EDIT (Resposta adicionada por Jezor):
No Manjaro (Arch) não há /var/log/auth.log ativado por padrão. Para ativar o registro:
journalctl SYSLOG_FACILITY=10
Os registros podem ser encontrados em / var / log / journal
Está disponível o registro de falhas e o i3lock se parece com:
Jan 31 22:22:37 manjarko i3lock[4135]: pam_unix(i3lock:auth): authentication failure; logname= uid=1000 euid=1000 tty=:0 ruser= rhost= user=jezor