Edite /etc/audisp/plugins.d e altere args = LOG_INFO para isso: args = local6
Em seguida, edite /etc/rsyslog.conf e adicione local6 ao bloco "alguns arquivos de registro" no geral, assim:
*.=info;*.=notice;*.=warn;\
auth,authpriv.none;\
cron,daemon.none;\
mail,news.none;\
local6.none -/var/log/messages
Altere também a linha args = in /etc/audisp/plugins.d para:
args = LOG_LOCAL6
Esta foi adaptada de esta postagem .