Não tenho certeza se obtenho a sua pergunta corretamente, mas em /var/log/auth.log estão (além de outras coisas) entradas de log provenientes de sshd . Eu acho que você quer criar um arquivo de log com apenas as entradas de sshd para ver quem e quando está acessando seu servidor via ssh, certo?
sshd usa o syslog para fazer o registro, no seu caso rsyslog . Esse log está configurado em /etc/sshd/sshd_config . As configurações relevantes são SyslogFacility e LogLevel . Veja a página de manual para entender o que eles fazem.
Para obter um único arquivo de log /var/log/sshd.log , que contém apenas mensagens provenientes de sshd , é necessário modificar a configuração do rsyslog. Crie um arquivo /etc/rsyslog.d/sshd.conf e coloque a seguinte linha:
if $programname == 'sshd' then /var/log/sshd.log
Depois reinicie rsyslog com
sudo service rsyslog restart