Esto es parte del marco de auditoría de Linux. Consulte aquí https://github.com/torvalds/linux/blob/master/include/uapi/linux/audit.h Por ejemplo, 1702 y 1302 significa:
1702 /* Suspicious use of file links */
1302 /* Filename path information */
Para las entradas no coincidentes, debe consultar su configuración específica en logwatch.conf y audit.conf
Por ejemplo, veamos qué significa este.
audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
Esto es "Uso sospechoso de enlaces de archivos" para el ID de usuario 1004. Por lo tanto, debe verificar qué usuario es ese. Se refiere a la operación "linkat", que es una función del sistema Linux y fue invocada por sshd. La auditoría marcó esto como sospechoso (tenga en cuenta que no negó ni bloqueó). Entonces, algo en su sistema está ejecutando el enlace de llamada al sistema (que básicamente crea un nuevo nombre de archivo, pero no estoy tan familiarizado con esta llamada).