Существует ли собственный журнал для выхода ssh команды?

На сервере Ubuntu 16.04 я получил предупреждение от своего ISP, что мой IP использовался для нападения на другие хосты с присоединенным следующим:

May 23 22:42:07 shared02 sshd[23972]: Invalid user ircd from <my-ip>
May 23 22:42:07 shared02 sshd[23972]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=<my-ip>
May 23 22:42:09 shared02 sshd[23972]: Failed password for invalid user ircd from <my-ip> port 54952 ssh2
May 23 22:42:09 shared02 sshd[23972]: Received disconnect from <my-ip> port 54952:11: Normal Shutdown, Thank you for playing [preauth]
May 23 22:42:09 shared02 sshd[23972]: Disconnected from <my-ip> port 54952 [preauth]

Я проверил журнал в /var/log/auth.log и узнал, что атака с подбором по словарю продолжалась в течение по крайней мере 10 дней на моем собственном сервере, и что в какой-то момент слабый пароль пользователя был взломан.

Я предполагаю, что бот нападения использовал этот доступ для нападения на другие цели, который является, почему я получил предыдущее предупреждение. Однако я не знаю, где это действие, возможно, было зарегистрировано. Есть ли какой-либо файл, который содержит эту информацию исходно в системах Ubuntu?

Кроме того, как вопрос о премии, я заметил, что бот пытался зарегистрироваться как корень от этого пользователя, но насколько я могу сказать, что он не попробовал к sudo команды, почему будет он нет?