O auditd subsistema atende às chamadas do sistema e os clientes NFS estão fazendo chamadas do sistema em seus respectivos hosts. (Portanto, auditd não pode detectar chamadas do sistema em outros hosts além dele mesmo).
Para monitorar os eventos dos clientes, configure auditd nos hosts remotos. Use o plug-in audisp-remote nesses hosts para enviar mensagens relacionadas à auditoria para um host de registro central que usa o plug-in audispd syslog. Em seguida, os registros de auditoria estarão disponíveis em um local agregado.
Do manual em audisp-remote :
audisp-remote is a plugin for the audit event dispatcher daemon, audispd, that preforms remote logging to an aggregate logging server.