Иногда в логах сложно что-то разобрать из-за большого количества сообщений.

Это можно исправить.

Для этого необходимо отредактировать файл audit.rules:

 # nano /etc/audit/audit.rules 

Внесем в файл, строки исключения например:

-a exclude,always -F msgtype=CWD

-a exclude,always -F msgtype=PROCTITLE

-a exclude,always -F msgtype=SECCOMP

В приведенном примере мы исключаем события типа CWD , PROCTITLE, SECCOMP

См.также

Лучше практики Auditd  для Linux

Как настроить дату и время в Auditd