Parece que você realizou algumas etapas específicas para fortalecer o OpenSSH .
Como um efeito colateral dessas mudanças, combinado com a execução de uma versão relativamente recente do OpenSSH, você receberá muito mais entradas de log detalhadas sobre falhas de conexão.
Todas as mensagens preauth que você está vendo se enquadram nessa categoria e representam um cliente que não conseguiu estabelecer uma conexão por algum motivo. Na maioria das vezes, essas conexões falham antes que o cliente possa tentar um nome de usuário e senha.
A melhor coisa a fazer com essas entradas de log é alimentá-las em um agregador de logs e criar bons gráficos para serem examinados pelos pesquisadores de segurança. Eles não precisam de nenhuma intervenção humana individual.
Claro, você deve continuar a intervir nas mensagens que indicam que uma senha foi tentada e falhou. Suas ferramentas existentes, como o fail2ban, servirão muito bem aqui, embora você considere suas listas de proibições muito menores do que antes, já que a maioria dos bots de força bruta ssh ainda não usa criptografia moderna (que é a causa principal da maioria dessas mensagens).
Um outro lugar onde você pode precisar intervir é com usuários autorizados que não podem mais se conectar, porque eles estão usando versões antigas de clientes ssh (por exemplo, uma versão antiga do PuTTY ou FileZilla) . A atualização do cliente para a versão mais recente corrige esses problemas.