Signification Du Message D'alerte De Tentative D'intrusion

J'ai mis en place une alerte sur intrusion (stream : failed to log) car l'exploitation et l'interprétation des journaux étant "en dessous" de tout, j'esperais en tirer quelque chose.... Je reçois cela :

Exemple 1:

Il y a un journal système contenant le mot clé failed to log sur DiskStation. Veuillez vérifier les détails sur le système.

Le contenu du journal est comme suit :

SYSTEM:011User [root] from [91.121.90.166] failed to log in via [sSH] due to authorization failure.

Exemple 2 :

Il y a un journal système contenant le mot clé failed to log sur DiskStation. Veuillez vérifier les détails sur le système.

Le contenu du journal est comme suit :

SYSTEM:011User [anonymous] from [62.210.122.205] failed to log in via [FTP] due to authorization failure.

Exemple 3

Il y a un journal système contenant le mot clé failed to log sur DiskStation. Veuillez vérifier les détails sur le système.

Le contenu du journal est comme suit :

SYSTEM:011User [root] from [91.121.90.166] failed to log in via [sSH] due to authorization failure.

----------------------------------------------------------------------------------------------------------------------------------------------------------

Voilà... J'aimerais comprendre ce que signifie "SYSTEM:011User" ? Comme, on retrouve cette valeur à chaque fois, cela n'est pas lié à l'intrusion qui vient de trois adresses IP différentes....

Peut être est ce un numéro d'utilisateur dans la base des comptes utilisateurs déclarés ? Si je regarde dans ma base, le 11 éme (ou le 17éme si c'est en hexa), cela ne correspond en rien en un compte "administrateur" ou "assimilé").

Merci de votre aide...