Você poderia usar algo assim:
grep "Failed password for" /var/log/auth.log | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" \
| sort | uniq -c
Ele solicita a string Failed password for
e extrai ( -o
) o endereço IP. Ele é classificado e uniq
conta o número de ocorrências.
A saída ficaria assim (com o seu exemplo como arquivo de entrada):
1 111.111.111.1
3 111.11.111.111
6 111.111.11.111
O último na saída tentou 6 vezes.