Догадаться.
Обратите внимание, что мое намерение состоит в том, чтобы иметь один файл журнала, а не вращать его.
У меня также был num_logs установлен в 1. Спецификация, если num_logs меньше 2, он не будет вращаться. С этим значением 1 почти не должно иметь значения, что такое max_log_file_action, поскольку нет вращения. Но с этим значением «keep_logs» система продолжала пытаться вращаться и терпеть неудачу, помещая эти сообщения в мои сообщения и файлы audd.log.
Я установил max_log_file_action в значение «игнорировать». Теперь я получаю желаемое поведение: один файл журнала аудита; нет ошибочных / посторонних сообщений в сообщениях и файлах auditd.log.