Sim, logins (remotos) são registrados, ou seja, em /var/log/auth.log .
Você pode pesquisar facilmente o arquivo por logins SSH de senha via
grep sshd.\*password.\* /var/log/auth.log
ou para autenticação de chave pública via:
grep sshd.\*publickey.\* /var/log/auth.log
Exemplo:
19 de janeiro 22:22:29 sshd do servidor awesome-no-standard-model [12883]: publicamente aceito para nostandardmodel de 1d01: 2031: 3284: be99: c34d: d7ae: fa1: porta d4ba 33324 ssh2: RSA SHA256: NRnnaK7EaRjGOBhb9qE7X12f5s5yfNzb9C32TTJ3VoI
Se o usuário usou o SSH para obter um shell e executar comandos, para acessar arquivos em um sistema de arquivos, como um túnel para conectar-se a outra máquina, como um túnel para acessar o VNC, para um repositório git ou para fazer qualquer outra coisa, não importa. Todos eles mostram o modo como o exemplo mostra isso. Se o usuário usar SFTP e no mesmo minuto for para um repo 10 vezes e abrir 20 sessões em um terminal, você verá 31 entradas mencionando o usuário, a hora, o endereço IP do usuário, etc., esse minuto no log.
Se existem registros de outras atividades realizadas pelo usuário depende da atividade exata. Pode ser ativado por padrão ou precisa ser ativado, se desejado. Por exemplo, para registrar a atividade de transferência de arquivos via SFTP: link