O maior ponto negativo é a carga extra em potencial que pode ser introduzida em um servidor. Agora dizendo que ele é tipicamente habilitado no CentOS e no Fedora, e é projetado para consumir o menor espaço possível para que possa coletar esses tipos de auditorias detalhadas. Então, eu esperaria que não causasse nenhum problema, presumindo que os logs estivessem sendo manipulados adequadamente, e você deve se sentir confortável em ativar seus servidores.
Se você for realmente paranóico, poderá fazer um lançamento escalonado e testá-lo em alguns de seus servidores para ver se há algum impacto percebido em seu desempenho. Experimente por algumas semanas assim. Se não houver problemas visíveis, distribua-o para o restante.