Править:
Вы просто нуждаетесь в правиле Журнала между принятием и отбрасываете правила, видите следующее для примера, отправляющего им в системный журнал. http://www.cyberciti.biz/tips/force-iptables-to-log-messages-to-a-different-log-file.html.
Это работает, потому что журнал отличается в этом, это '"не завершающий цель", т.е. обход правила продолжается в следующем правиле. - От man iptables
'. Таким образом в отличие от Ваших других правил, проверка по сравнению с правилами не собирается срывать, когда она достигает соответствия.
Кроме того, см. эту ссылку для того, как указать файл журнала (но отметить развить сообщение).
До (неправильно читавший вопрос):
Вы могли бы хотеть fail2ban, делает это для Вас автоматически... целый набор других опций для этого сообщения: сотни Неудавшихся Логинов SSH.
Лучшим способом я нашел, должен сохранить некоторый живой журнал по сетевому или последовательному соединению. Иногда, ядро может распечатать критическое сообщение к зарегистрированной оболочке даже при том, что оно не может сохранить его в файл, которому может помочь поэтому просто наличие удаленной открытой оболочки. Можно также выследить-f определенные файлы журнала, или еще лучше, кошка/proc/kmsg и видеть живые сообщения ядра, отправленные по ssh. Другая более надежная опция состоит в том, чтобы настроить физический последовательный порт как консоль. Я имею всю свою поддержку серверов последовательная консоль и могу зарегистрировать целую начальную загрузку с эмулятором последовательного терминала как HyperTerminal, или лучше, PuTTY на последовательном порте. При добавлении параметра загрузки console=ttyS0 отправит все сообщения ядра в COM1, который требует намного меньше для работы в противоположность поддержанию сетевого соединения. Большинство материнских плат все еще обычно имеет заголовок на управлении по COM1, даже если у них нет коннектора.