Si tu veux voir passer une connexion vers ton système avec ton parefeu, il faut alors signifier à celui-ci de loguer les tentatives. ensuite tout dépend comment tu log, soit avec le mode de base soit avec ulog2 et NFLOG.
En fait ton parefeu ne voit passer que des flux, donc il te faudrait analyser un flux pour savoir quel est celui qui, à un moment est en train de réaliser la connexion.
Comme le dit Clochette, utiliser auth.log est plus pertinent car en plus il te donne l’information du mode de connexion (via ssh, ou login sur la machine ou si c’est une connexion de rebond.