De acordo com a resposta de Steve Grubb na lista de discussão oficial ( link para o e-mail ):
Resposta de Steve:
Is it possible that there are duplicate fields in a record?
Às vezes. Eu tentei consertar isso quando isso acontece. O problema é que nem todo mundo executa seu código de auditoria por esta lista de e-mail para que pode verificá-lo para ver se está bem formado. O que estou planejando fazer é escrever um conjunto de validações de eventos de auditoria que verifique se os eventos estão bem formada e que os eventos esperados estão sendo escritos quando são deveria e na ordem que eles são supoosed para. Limpando esses eventos estão no topo da minha lista TODO.
Something like (which doesn’t make much sense obviously):
type=CWD msg=audit(1464013682.961:409): cwd="/root” cwd=“/usr”
Algo como isso não vai acontecer, é mais provável em torno de auid e uid. A razão é que o kernel adiciona algo automaticamente porque é uma fonte confiável de informações. Espaço do usuário pode escrever informação contraditória. Por exemplo, se um daemon está trabalhando em nome de um usuário, mas seu auid não foi definido para o usuário, então você pode ver isso.
tl; dr
É possível, no entanto, é incomum e desencorajado.