Обнаружена проблема, проблема была в записи aud.conf, для centos8 или rhel8 введен новый конфиг log_format = ENRICHED. Если команда ENRICHED to RAW выдаст события, как и раньше, или обновит синтаксический анализатор, если это необходимо для использования ENRICHED.
man-страница audit.conf сообщает -
Параметр ENRICHED разрешит все uid, gid , системный вызов, информация об архитектуре и адресе сокета перед записью события на диск. Это помогает понять события, созданные в одной системе, но сообщенные / проанализированные в другой системе.