auth.log хранит mysql, входят в систему попытки?

Я вижу несколько корневых записей входа в систему в auth.log в одних из наших серверов баз данных, но я не знаю, ли это приложения, входящие в систему нашей базы данных, или ssh регистрируют ins.

FWIW Мы поворачиваем наших пользователей базы данных, чтобы прекратить использовать корень.