Ao ler a documentação, acho que usar a opção "--failed" mostraria eventos com falha apenas para o relatório que você está executando. O comportamento padrão é mostrar falhas e sucessos. De a página do manual :
--failed
Only select failed events for processing in the reports. The default is both success and failed events.
Acredito que o número seja o número de eventos desse relatório específico para esse usuário específico. No seu caso, há 87 eventos de login (com falha e êxito) associados ao usuário "root", e há 458 eventos de login (mais uma vez, com falha e êxito) associados ao usuário " desfeito ".
Veja algumas boas leituras adicionais sobre o aureport: