Você não pode fazer o que está pedindo. O nome de usuário do Windows não é passado para o sistema Linux de qualquer maneira significativa, onde você seria capaz de analisá-lo e armazená-lo em um arquivo de log. O único nome de usuário que você pode registrar é o nome de usuário que foi usado para efetuar login no sistema Linux.
Além disso, você pode registrar o endereço IP em que a tentativa de login foi iniciada usando o comando w .
Exemplo:
$ w -i
21:14:08 up 2 days, 19:50, 2 users, load average: 0.00, 0.01, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
vagrant pts/0 10.0.2.2 Sat20 0.00s 2.09s 0.01s sshd: vagrant [priv]
Aqui você pode ver que alguém fez login na conta vagrant do endereço IP 10.0.2.2, via ssh . Tenha em mente que o SSHD já registra informações semelhantes:
Jul 16 00:15:05 centos7 sshd[31577]: Accepted publickey for vagrant from 10.0.2.2 port 58471 ssh2: RSA SHA25
6:1vJymfZsu2KZ49lDftGMzz2VEb2Z2Y8PNi9cs55eHGE
Jul 16 00:15:05 centos7 sshd[31577]: pam_unix(sshd:session): session opened for user vagrant by (uid=0)