Я хочу отправлять журналы в централизованное ведение журнала (ELK). Из-за того, как обстоят дела, мне нужно выполнять обработку на машине, которая создает журналы. Как я могу заставить каждое новое событие auditd автоматически обрабатываться программой ausearch и записываться в другой файл?
Самый простой (но ориентированный на пакетную обработку): используйте возможность контрольной точки в ausearch, сериализуйте вывод в некоторый транспортный механизм (например, сложите несколько записей в одну строку и транспортируйте через syslog, и пусть ваши макросы logstash снова разбивают его) и запускайте каждые N минут.
Больше усилий: вырежьте код для выполнения вышеуказанного с помощью audit-libs (начните с auparse-feed (3)) и настройте диспетчер auditd для отправки аудита вашего кода.