Não conheço nenhum hipervisor que tenha uma funcionalidade como essa e, mesmo que tenha, você está tentando capturar as interações de um protocolo projetado com a segurança em mente.
Parece que você está usando um sistema operacional baseado em * nix, o que me faz pensar que você tiraria bastante proveito das ferramentas de monitoramento e auditoria integradas ao sistema operacional (que têm uma herança longa e rica) em oposição a tentando tirar algo de você mesmo. Qual é a sua aversão ao uso de ferramentas de monitoramento dentro da VM?
Se você não puder fazer isso, deverá pensar em encerrar as conexões SSH em uma VM de monitoramento dedicada e usar um protocolo menos orientado à segurança para a comunicação entre essa VM de monitoramento e a VM em que deseja que o log ocorra. (Obviamente, você está criando uma possível preocupação de segurança ao fazer isso, então você deve proceder com a devida cautela.)