Cela fait partie du cadre d'audit Linux. Voir ici https://github.com/torvalds/linux/blob/master/include/uapi/linux/audit.hPar exemple, 1702 et 1302 signifie :
1702 /* Suspicious use of file links */
1302 /* Filename path information */
Pour les entrées sans correspondance, vous devez consulter vos paramètres spécifiques dans logwatch.conf et audit.conf
Par exemple, regardons ce que celui-ci signifie.
audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
Il s'agit de "Utilisation suspecte de liens de fichiers" pour l'identifiant d'utilisateur 1004. Vous devez donc vérifier de quel utilisateur il s'agit. Il fait référence à l'opération "linkat" qui est une fonction du système Linux et qui a été invoquée par sshd. L'audit a signalé cela comme suspect (notez qu'il n'a ni nié ni bloqué). Donc, quelque chose dans votre système exécute l'appel sys linkat (qui crée essentiellement un nouveau nom de fichier mais je ne suis pas très familier avec cet appel).