Как я могу пересылать только ошибки из журнала аудита на сервер rsyslog?

Предполагая, что вы используете модуль ввода текстового файла для rsyslog, параметр InputFileSeverity определяет серьезность, хранящуюся в rsyslog, а НЕ серьезность сообщений, зафиксированных в файле audit.log. Модуль ввода файлов не фильтрует вас. Вы должны настроить auditd так, чтобы в файле audit.log регистрировался только уровень серьезности ошибок, затем установите для параметра inputfileseverity значение error, и ошибки из audit.log будут фиксироваться rsyslog на уровне серьезности ошибки.