Ini adalah bagian dari kerangka kerja audit linux. Lihat di sini https://github.com/torvalds/linux/blob/master/include/uapi/linux/audit.hMisalnya, 1702 dan 1302 berarti:
1702 /* Suspicious use of file links */
1302 /* Filename path information */
Untuk Entri yang Tak Tertandingi, Anda perlu melihat pengaturan spesifik Anda di logwatch.conf dan audit.conf
Sebagai contoh, mari kita lihat apa artinya ini.
audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
Ini adalah "Penggunaan tautan file yang mencurigakan" untuk id pengguna 1004. Jadi, Anda perlu memeriksa pengguna yang mana itu. Itu mengacu pada operasi "linkat" yang merupakan fungsi sistem linux dan ini dipanggil oleh sshd. Audit menandai ini sebagai mencurigakan (perhatikan bahwa ini tidak ditolak atau diblokir). Jadi sesuatu di sistem Anda menjalankan sys call linkat (yang pada dasarnya membuat nama file baru tetapi saya tidak begitu paham dengan panggilan ini).