Em vez de capturar logs de auditoria com auditd, você pode configurar o syslog no OpenVZ VE para enviar todos os logs para um servidor remoto (que pode ser o próprio OpenVZ HN, por exemplo). Assim, todos os eventos de auditoria estariam a salvo de um comprometimento da VE.
Estou marcando esta resposta como wiki, caso alguém queira fornecer mais detalhes.