Los logs se guardan en /var/log/ y ahí, los que usamos distros tipo Debian o derivados, tenemos al archivo auth.log, que como su nombre indica guarda lo referente a autentificación, haciendo un simple cat (listando el contenido de él) y especificando que solo nos muestre las conexiones aceptadas, obtendremos lo que deseamos.
La línea sería:
cat /var/log/auth* | grep Accepted
Ahí podemos ver la fecha de la conexión, el usuario y la IP desde donde se conectaron, así como algún que otro detalle.
Pero, podemos filtrar un poco más … les dejo el mismo comando, con algunos parámetros de awk :
sudo cat /var/log/auth* | grep Accepted | awk '{print $1 " " $2 "\t" $3 "\t" $11 "\t" $9 }'