Como posso identificar o programa que gravou informações em um arquivo de log?

Recentemente, recebi uma mensagem dizendo que algo falhou no sudo no meu laptop Ubuntu. Na época, não acredito que estivesse executando algo que precisasse de sudo. As mensagens que apareceram em /var/log/auth.log são:

Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): conversation failed
Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): auth could not identify password for [mv]
Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): conversation failed
Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): auth could not identify password for [mv]
Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): conversation failed
Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): auth could not identify password for [mv]
Jul 16 11:50:56 laptop sudo: mv : 3 incorrect password attempts ; TTY=unknown ; PWD=/home/mv ; USER=root ; COMMAND=/usr/bin/env -u LANGUAGE LC_MESSAGES=C /bin/sh /tmp/tmpBHXhYV/:script:

A semelhança com o log in esta pergunta me faz pensar que isso foi gerado pelo gerenciador de atualização.

Existe uma maneira de confirmar se o gerenciador de atualização ou outro programa que causou esse erro foi registrado em /var/log/auth.log? Alternativamente, alguém já viu essa sequência particular de linhas log antes?

Obrigado pela sua ajuda.

Editar :

O diretório
• / tmp / tmpBHXhYV / não existe mais
• Pelo que vejo, enquanto o gerenciador de atualização está em execução, ele cria estes diretórios / tmp / tmpXXXXXX / (onde os X's são aleatórios). Para esclarecer minha dúvida, gostaria de saber se / como posso referenciar diretamente algo no código do gerenciador de atualização que gera linhas desse formato. Eu dei uma olhada no código-fonte para a versão do meu gerenciador de atualização, mas não foi capaz de resolver isso.

Obrigado novamente!