これは、Linux 監査フレームワークの一部です。ここを参照してください https://github.com/torvalds/linux/blob/master/include/uapi/linux/audit.hたとえば、1702 と 1302 は次を意味します:
1702 /* Suspicious use of file links */
1302 /* Filename path information */
Unmatched Entries については、logwatch.conf と audit.conf の特定の設定を確認する必要があります
たとえば、これが何を意味するのか見てみましょう。
audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
これは、ユーザー ID 1004 の「ファイル リンクの不審な使用」です。したがって、それがどのユーザーであるかを確認する必要があります。これは、Linux システム機能である「linkat」操作を参照しており、これは sshd によって呼び出されました。監査では、これに疑わしいというフラグが付けられました (拒否またはブロックされていないことに注意してください)。したがって、システム内の何かがsys呼び出しlinkatを実行しています(これは基本的に新しいファイル名を作成しますが、私はこの呼び出しに精通していません)。