Não há nenhum: o log de auditoria é um arquivo de texto que pode ser excluído. No entanto, se auditd estiver configurado para ser executado a partir da inicialização inicial, o auditd não poderá ser interrompido e continuará gravando em seu descritor de arquivo aberto. Isso registraria a exclusão se o auditd fosse configurado para assistir seu log de saída (embora você tenha que recuperar o arquivo para ver as informações).
Normalmente (em sistemas de usuários finais), o auditd é configurado para registrar "eventos de segurança" (login / logout), mas pode ser solicitado a observar os arquivos em busca de alterações. Não há nada específico para (por exemplo) /var/log/audit/auditd.log , mas você pode estabelecer um watch para ele conforme documentado na página de manual.
Leitura adicional: