Регистрация изменений файловой системы

Я использую OSSEC HIDS для мониторинга изменений файловой системы. OSSEC проверяет следующие каталоги: /etc, /bin, /sbin, /usr/bin, /usr/sbin, /boot. Когда происходит автоматическое обновление системы, OSSEC отправляет по электронной почте предупреждение о том, что установлен новый пакет dpkg (Правило 2902: «Установлен новый dpkg (пакет Debian)».). В этом случае, чтобы убедиться, что это изменение было связано с законным обновлением, я могу проверить /var/log/dpkg.log или /var/log/apt/history.log и найти любой пакет, который, по сообщениям OSSEC, был установлен.

Received From: daffyduck->/var/log/dpkg.log
Rule: 2902 fired (level 7) -> "New dpkg (Debian Package) installed."
Portion of the log(s):

2019-10-25 15:24:40 status installed libc-bin:amd64 2.27-3ubuntu1

Когда файл добавляется в один из каталогов, которые отслеживает OSSEC, запускается rule 554 и мне снова отправляется уведомление по электронной почте. Например, я получил два оповещения, одно из-за того, что определенное количество файлов было добавлено в каталог /boot, второе из-за аналогичных изменений в каталоге /etc. Например:

Received From: daffyduck->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):

New file '/boot/grub/i386-pc/sfs.mod' added to the file system.

Или, для каталога /etc:

Received From: daffyduck->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):

New file '/etc/magic.mime' added to the file system.

syscheck - это имя процесса проверки целостности внутри OSSEC. Как я могу проверить, были ли эти изменения законными (внесены системой)? К какому файлу журнала я должен обращаться?