Eu acho que há más notícias se os recursos xxxxxx 'saídos estiverem localizados na área protegida. O código de status http em seus registros informa que seu servidor enviou o recurso para o cliente x.y.z.x. Se o basic-auth tivesse falhado de alguma forma, um 401 (proibido) teria sido retornado.
O número ao lado do 200 informa quantos bytes foram enviados na resposta. Verifique se os recursos por trás dos xxxxxx'es têm 676, 523 e 11 bytes de tamanho para outra dica se os dados foram acessados com sucesso.
Atualização / Solução:
Como se constatou nos comentários, os acessos mencionados foram para recursos em áreas desprotegidas, resultando assim no código de status http 200 (OK). O fato confuso de que um nome de usuário desconhecido é mostrado nos logs é devido à possibilidade de definir o cabeçalho "Autorização" em uma solicitação http, independentemente de a autorização ter sido solicitada pelo servidor ou de o nome de usuário ser conhecido no servidor. Então, aparentemente, este é o trabalho de algum webcrawler ou bot tendo configurado o cabeçalho auth por padrão. Talvez inocente, talvez não, mas obviamente não tão prejudicial quanto parece à primeira vista no arquivo de registro.