通过env命令，可以看到当前可用的环境变量，有个可用的变量SSH_CONNECTION记录ssh信息

# 用户
user=`echo $LOGNAME`

# 来源ip
from_ip=`echo $SSH_CONNECTION | awk '{print$1}'`

# 来源端口
from_port=`echo $SSH_CONNECTION | awk '{print$2}'`

# 服务器ip
target_ip=`echo $SSH_CONNECTION | awk '{print$3}'`

# 服务器端口
target_port=`echo $SSH_CONNECTION | awk '{print$4}'`

把发送邮件命令放到/etc/profile（对所有用户起作用）中，这样就可以不通过监控secure日志实现登陆检查。
通过这些参数可以直接发送通知邮件，这里我用php写的邮件接口，最终实现效果如下。