需要帮助了解audit.log中可疑的CONFIG

我们有一个服务器，突然拒绝有效的SSH尝试与ssh_exchange_identification: Connection closed by remote host错误ssh_exchange_identification: Connection closed by remote host 。

做一个nmap扫描显示：

 PORT STATE SERVICE VERSION 22/tcp open tcpwrapped

当我重新启动实例时，我能够再次SSH。重复nmap扫描带来了这个：

 PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 6.6.1 (protocol 2.0)

在审核audit.log后，我发现了一些相关的logging：

 type=DAEMON_START msg=audit(1508678478.225:522): auditd start, ver=2.4.1 format=raw kernel=4.4.11-23.53.amzn1.x86_64 auid=4294967295 pid=2142 res=success type=CONFIG_CHANGE msg=audit(1508678478.353:3): audit_backlog_limit=320 old=64 auid=4294967295 ses=4294967295 res=1 type=CONFIG_CHANGE msg=audit(1508678478.353:4): auid=4294967295 ses=4294967295 op="add_rule" key=(null) list=1 res=1

实例在日志事件所指示的时间没有重新启动，sshd守护进程也没有被我重新启动。我尝试阅读事件，但我不明白CONFIG_CHANGE事件。

如果你们中的任何一个人能够借鉴一下这里可能发生的事情，那将是非常有帮助的。

需要帮助了解audit.log中可疑的CONFIG_CHANGE事件