Как исключить сообщения auditd из dmesg и регистрировать их только в /var/log/audit.log
POSIXly :
head -n 1 <file | LC_ALL=C tr -cs '[:digit:]' '[\n*]' | paste -s -
Запись в /var/log/messages происходит одновременно с /var/log/messages. audit=0 отключает все журналы аудита. Однако это не должно остановить период аудита. Рассмотрите также возможность использования auditctl -e 0.
Журналы аудита, которые появляются, на самом деле не являются "проблемой конфиденциальности", потому что если пользователь действительно хочет знать, что происходит, ему понадобится ausearch и другие au* команды для просмотра содержимого журналов/отчетов по мере их появления (подсказка, для этого нужен root). В журналах аудита, помимо прочего, будет показана выполненная команда, но ничего сверх этого (переключатели, другие файлы и т.д.).
В качестве примечания, есть также команда ps. Любой пользователь может посмотреть, что запускает другой пользователь.