Является ли это возможным? Конечно.
На основе аналогичных продуктов (AIDE, Integrit) существует некоторая конфигурируемость в отношении того, что проверяется. (Я использовал те продукты, которые описали свой файл конфигурации как похожий на Tripwire, так что, скорее всего, они работают аналогично). Если даты не проверяются, а изменения, которые проверяются, отменяются, то счетчик может уменьшиться.
Например, если разрешения проверены, и однажды файл переключен на «только для чтения», это может быть помечено как изменение. Если это вызвало проблему для конечного пользователя, который пожаловался, то изменение могло быть отменено. В следующем отчете не будет замечено изменение разрешений.
Я не ожидал бы, что это случится много. Если бы это произошло вообще, это было бы, вероятно, меньшинство обновлений. На самом деле, вы сообщаете только о 7 изменениях из 90. Кажется, что это вполне правдоподобно.
Теперь, относительно того, действительно ли это именно то, что произошло в вашем случае, мы можем быть не в состоянии ответить на этот вопрос без более подробной информации (например, просто о том, какова ваша конфигурация и о каких нарушениях сообщается). Совместное использование таких деталей может включать или не включать обмен информацией, которой не следует делиться. Отчасти это может зависеть от того, насколько конфиденциальной является информация. Однако, если вы хотите более точные детали, это может быть необходимо.