Você pode configurá-lo para fazer login no syslog alterando /etc/knockd.conf
.
Comente logfile = /var/log/knockd.log
em [options]
e adicione o seguinte:
UseSyslog
Em seguida, inicie-o a partir do shell e verifique a saída:
knockd --debug --verbose
Mais detalhes aqui: link