Isso faz parte do framework de auditoria do Linux. Veja aqui link Por exemplo, 1702 e 1302 significa:
1702 /* Suspicious use of file links */
1302 /* Filename path information */
Para as Unmatched Entries você precisa ver suas configurações específicas em logwatch.conf e audit.conf
Por exemplo, vamos ver o que isso significa.
audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
Este é o "Uso suspeito de links de arquivo" para o ID de usuário 1004. Portanto, você precisa verificar qual usuário é esse. Ele está se referindo à operação "linkat" que é uma função do sistema linux e foi invocada pelo sshd. A auditoria sinalizou isso como suspeito (note que ele não negou ou bloqueou). Então, algo em seu sistema está executando o linkat de chamada sys (que basicamente cria um novo nome de arquivo, mas eu não estou familiarizado com essa chamada).