Pode haver algo melhor, mas o protocolo tcp termina as conexões com os pacotes FIN ou RST. Você poderia combinar com isso.
iptables -I INPUT -p tcp --dport XYZ --tcp-flags FIN FIN -j LOG
iptables -I INPUT -p tcp --dport XYZ --tcp-flags RST RST -j LOG
O FIN é repetido, pois --tcp-flags recebe 2 argumentos, uma máscara de quais sinalizadores devem ser vistos e que combinação aceitar.