Você deve conseguir filtrar um pouco assim mesmo, mas se o registro estiver sendo completamente preenchido com muita frequência, você poderá desativar temporariamente a maioria das outras auditorias de segurança e simplesmente auditar "Alterar permissões" (particularmente as "bem-sucedidas").