Edite /etc/audisp/plugins.d
e altere args = LOG_INFO
para isso: args = local6
Em seguida, edite /etc/rsyslog.conf
e adicione local6
ao bloco "alguns arquivos de registro" no geral, assim:
*.=info;*.=notice;*.=warn;\
auth,authpriv.none;\
cron,daemon.none;\
mail,news.none;\
local6.none -/var/log/messages
Altere também a linha args =
in /etc/audisp/plugins.d
para:
args = LOG_LOCAL6
Esta foi adaptada de esta postagem .