Toto je součást linuxového auditního rámce. Viz zde https://github.com/torvalds/linux/blob/master/include/uapi/linux/audit.hNapříklad 1702 a 1302 znamená:
1702 /* Suspicious use of file links */
1302 /* Filename path information */
Pro Unmatched Entries se musíte podívat na svá konkrétní nastavení v logwatch.conf a audit.conf
Podívejme se například, co znamená tento.
audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
Toto je "Podezřelé použití odkazů na soubory" pro ID uživatele 1004. Musíte tedy zkontrolovat, který uživatel to je. Odkazuje na operaci "linkat", což je funkce systému linux, kterou vyvolal sshd. Audit to označil jako podezřelé (všimněte si, že to nezamítlo ani nezablokovalo). Takže něco ve vašem systému spouští linkat volání sys (což v podstatě vytváří nový název souboru, ale s tímto voláním nejsem tak obeznámen).