Dois pontos:
- você deve ter instalado o pacote do daemon de auditoria,
auditd
. - em sua configuração padrão
auditd
não faz muito, exceto o registro quando os usuários fazem login.
De qualquer forma, você terá que configurar para torná-lo útil.
Leitura adicional:
- auditd - O daemon de auditoria do Linux
- Exemplo simples de configuração de auditoria?
- Auditd - Ferramenta para auditoria de segurança no servidor Linux
- Configurando e auditando sistemas Linux com o daemon do Audit
A página de manual não é muito profunda, e é por isso que apontei para as páginas adicionais.
Não há muito disponível para ler sobre a configuração do próprio seccomp. Aqui estão alguns pontos de partida úteis (que incluem comentários que auditd pode não precisar de configuração porque seccomp é relatado incondicionalmente):