O script periodic envia a saída de determinadas verificações de segurança para os arquivos temporários em /tmp . A linha sobre a qual você está perguntando é um diff header - e a linha anterior no email lhe dirá qual das verificações de segurança gerou. Os scripts vivem em /etc/periodic/security , e são apenas scripts de shell, para que você possa se aprofundar e entender melhor o que eles fazem. Nesse caso, provavelmente é gerado por 700.kernelmsg , e o fato de não haver nada depois é um bom sinal!
O cabeçalho diff é criado quando a função check_diff() in /etc/periodic/security/security.functions é chamada pelas verificações individuais.
Você precisaria comparar os arquivos /etc/periodic.conf em algumas de suas VMs para descobrir quais são as diferenças. A configuração padrão do subsistema periodic reside em /etc/defaults/periodic.conf e a em /etc substitui essas configurações padrão.
Isso é perfeitamente normal e nada para se preocupar. É um sinal de que seu subsistema periodic está funcionando normalmente.