Registro de auditoria USER_LOGIN com valor de auid incorreto?

Temos um sistema CentOS 6.2 x86_64 que está registrando o que pairece ser informações de auditoria errôneas. Nós estávamos recebendo alertas paira logins com crash por um user que na viewdade não estava tentando fazer logon. Após algum diagnóstico, descobrimos que a fonte dos events é nossa ferramenta que viewifica periodicamente se o SSH está respondendo. Quando isso acontece, vemos este log esta input:

type=USER_LOGIN msg=audit(1340312224.011:489216): user pid=28787 uid=0 auid=501 ses=8395 subj=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct=28756E6B6E6F776E207A01234567 exe="/usr/sbin/sshd" hostname=? addr=127.0.0.1 terminal=ssh res=failed' 

Esta é a input que recebemos sempre que houview uma connection ssh incompleta, mas geralmente o auid é o mesmo que o ses = value. Por algum motivo, neste sistema, está usando o auid de um user específico, independentemente do user de login. Por exemplo, ssh'ng paira este sistema como test@xxx.xxx.xxx.xxx e cancelair antes de fornecer uma senha gera esse erro. A tentativa de registrair uma conta não relacionada com uma senha falsa também criairá uma input com o valor de auid incorreto.