Nem az auditd szokta felzabálni a helyet, hanem mondjuk egy maga alá rottyantó Java-s "alkalmazás", ami olyan mennyiségű logot képes kiokádni magából, ha nincs minden rendben, hogy az ember csak néz ki a fejéből... És hiába szól a monitoring, hogy fogy a hely, attól még nagyon nem jó, ha az xyz alkalmazás ilyen szinten meg tudja borítani a rendszert. Ezért nem tartok pl. alkalmazáslogot (jellemzően Java...) a /var/log alatt. Az a rootvg része, azt tessen nem bactatni - a datavg-ben lévő mondjuk optlv (/opt) alatt a /kot/alkalmazas/log könyvtárban tökéletes helye lesz - ha telerottyantja, hát így járt...