Questo fa parte del framework di controllo di Linux. Vedi qui https://github.com/torvalds/linux/blob/master/include/uapi/linux/audit.hAd esempio, 1702 e 1302 significano:
1702 /* Suspicious use of file links */
1302 /* Filename path information */
Per le voci senza corrispondenza devi guardare le tue impostazioni specifiche in logwatch.conf e audit.conf
Ad esempio, diamo un'occhiata a cosa significa questo.
audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
Questo è "Uso sospetto di collegamenti a file" per l'ID utente 1004. Quindi è necessario verificare quale utente è. Si riferisce all'operazione "linkat" che è una funzione del sistema Linux e questa è stata invocata da sshd. L'audit lo ha contrassegnato come sospetto (si noti che non ha negato o bloccato). Quindi qualcosa nel tuo sistema sta eseguendo la chiamata di sistema linkat (che fondamentalmente crea un nuovo nome di file ma non ho molta familiarità con questa chiamata).