O formato syslog normalmente contém um registro de data e hora, nome do host, nome do aplicativo e ID do processo, além de qualquer outra mensagem personalizada foi enviada. Todos esses valores estão (substancialmente) sob o controle do processo que envia a mensagem do syslog. A fonte cronie (se configurado para usar syslog) usa o openlog e syslog funções para gravar no syslog.
Vendo que as mensagens relatadas pareciam o formato syslog e que os nomes de host eram diferentes entre as mensagens, e que todos os logs (mencionados) eram do "nome do aplicativo" CROND, parecia plausível que o syslog do SERV2 estivesse configurado para escreva todos os logs do recurso "cron" que ele recebe no arquivo / var / log / cron. Isso incluiria logs "remotos" de outros sistemas que foram configurados para enviar seus syslogs para SERV2 (e supondo que o SERV2 esteja ouvindo esses logs remotos).
Esta teoria foi confirmada nos comentários quando o OP descobriu que serv1 tinha uma entrada de syslog curinga que apontava cada syslog em (presumivelmente o IP de) SERV2.