Ho notato che se tutto funziona correttamente con auditd su Ubuntu, e quindi il log su /var/log/audit/audit.log è cancellato (tutto il testo cancellato, il file non è cancellato), auditd non sarà più registra gli eventi fino a quando non viene riavviato. È questo il comportamento predefinito?
* Se non riesci a riprodurlo subito, per favore commenta e cancellerò questo post.