Перенаправляйте журналы Auditd на один сервер и анализируйте с помощью aureport

Я настроил auditd на двух серверах RHEL с необходимыми правилами. Журналы аудита соответствуют ожиданиям. Я хочу переслать эти журналы на центральный сервер, чтобы анализ был легким.Я пробовал два подхода, упомянутых в этой ссылке Отправка журналов auditd на удаленный сервер журналов в Red Hat Enterprise

Проблема с подходом 1 (отправка на удаленный сервер auditd): журналы от всех клиентов добавляются в один файл. Я не могу получить отдельные отчеты для каждого клиента.

Проблема с подходом 2 (отправка на удаленный сервер системного журнала): журналы на стороне сервера содержат лишние слова в начале строки. Они добавляются в фактический журнал аудита от клиента

" 12 января 16:38:22 MahineName audispd: node = MahineName « type = USER_TTY msg = audit (1484257088.191: 1486822)

Срок выполнения для этого aureport не может анализировать эти журналы и показывать нулевые события.

Пожалуйста, предложите правильный подход для сбора всех журналов аудита отдельно от всех клиентов и запуска aureport на этих

ОС: RHEL 6