Иногда в логах сложно что-то разобрать из-за большого количества сообщений.
Это можно исправить.
Для этого необходимо отредактировать файл audit.rules:
# nano /etc/audit/audit.rules
Внесем в файл, строки исключения например:
-a exclude,always -F msgtype=CWD
-a exclude,always -F msgtype=PROCTITLE
-a exclude,always -F msgtype=SECCOMP
В приведенном примере мы исключаем события типа CWD , PROCTITLE, SECCOMP
См.также
Лучше практики Auditd для Linux
Как настроить дату и время в Auditd