Você precisa executar augenrules .
Este é um script executável que repassa as regras que você tem em rules.d e as compila em um único arquivo válido.
Por esse motivo, você também deve se certificar de que todos os arquivos em rules.d terminem com uma nova linha. Caso contrário, o arquivo resultante terá regras inválidas.
Você pode não ter esse script se estiver usando uma versão mais antiga do auditd. Mas, na verdade, é apenas um script, e você pode pegá-lo de uma versão mais recente do auditd e colocá-lo em algum lugar no caminho. Embora, em vez disso, eu não recomende, se for esse o caso, você deve atualizar o auditd para uma versão mais recente.