Acho que isso deve ser feito:
journalctl -fu sshd
ou
journalctl -u sshd -n 100
Isto é, se você estiver executando o systemd, o que eu acho que é o padrão. O primeiro vai manter um relógio. Este último é equivalente a canalizar através da cauda.
(A leitura parece indicar que os logs devem estar em / var / log / secure)