Нужна помощь в интерпретации журналов auditd part1

Недавно мы включили auditd на одном из наших серверов CentOS 7.3 и, просматривая некоторые базовые отчеты, я заметил, что существует тонна неудачных событий, скажем, около ~ 10K в день:

# aureport -x --failed | grep 03/29 | wc -l 10454 

Я пытаюсь понять, каковы некоторые из этих неудачных событий, но я далеко не уйду. Пример одного из наиболее распространенных событий 8339524:

 grep 8339524 audit.log audit.log:node=hostname1.internal type=SYSCALL msg=audit(1490796601.096:8339524): arch=c000003e syscall=2 success=no exit=-6 a0=4a9037 a1=802 a2=6eb028 a3=7ffe761484d0 items=1 ppid=16090 pid=16094 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=301903 comm="sh" exe="/usr/bin/bash" subj=system_u:system_r:system_cronjob_t:s0-s0:c0.c1023 key="root" audit.log:node=hostname1.internal type=PATH msg=audit(1490796601.096:8339524): item=0 name="/dev/tty" inode=1036 dev=00:05 mode=020666 ouid=0 ogid=5 rdev=05:00 obj=system_u:object_r:devtty_t:s0 objtype=NORMAL 

Я вижу, что пользовательский корень выполнил команду «sh», но что именно было запущено, т. Е. Что происходит в системе? Я знаю, что ausearch интерпретирует событие в форме, удобочитаемой человеком, но это, кажется, не передает много нового intel:

 # ausearch --interpret -a 8339524 ---- node=hostname1.internal type=PATH msg=audit(03/29/2017 16:10:01.096:8339524) : item=0 name=/dev/tty inode=1036 dev=00:05 mode=character,666 ouid=root ogid=tty rdev=05:00 obj=system_u:object_r:devtty_t:s0 objtype=NORMAL node=hostname1.internal type=SYSCALL msg=audit(03/29/2017 16:10:01.096:8339524) : arch=x86_64 syscall=open success=no exit=ENXIO(No such device or address) a0=0x4a9037 a1=O_RDWR|O_NONBLOCK a2=0x6eb028 a3=0x7ffe761484d0 items=1 ppid=16090 pid=16094 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=301903 comm=sh exe=/usr/bin/bash subj=system_u:system_r:system_cronjob_t:s0-s0:c0.c1023 key=root 

это проблема с открытием / dev / tty? Так как файл устройства есть и выглядит так же, как и другие терминалы. Кроме того, делает ли subj = system_u: system_r: system_cronjob_t предложение о работе с cron? Единственная запись в crontab сервера устанавливается в * / 3 каждый час, поэтому она не соответствует отметке времени 16:10 события.