Minha configuração é um pouco diferente, no meu / etc / ssh / sshd_conf eu especifico um local para onde enviar os logs:
Subsystem sftp internal-sftp -f LOCAL4 -l VERBOSE
Então eu refiro esse local no meu rsyslog.conf com
local4.* -/var/log/sshd.log
Isso registrará as acusações do meu usuário em /var/log/sshd.log.