Auditd не отправляет журналы на централизованный сервер журналов аудита

Мы настроили централизованное ведение журнала сообщений аудита для двух машин:

• машина (www22.domain.com)— исходный (centos8)
• машина (cls.domain.com)— централизованный сервер логов (centos7)

Это было сделано стандартным способом с помощью плагина auditd+audisp, отправляющего в auditd сервер прослушивает порт 60, например как описано здесь :

https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/

. Но затем, когда я наблюдаю за журналом аудита на централизованном сервере журналов после перезапуска клиента auditd в источнике, единственное, что появляется, это строки

node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=success

, где ::ffff:xyz152, очевидно, из-за какого-то пакета(s)с IP-адреса xyx152 (адреса www22.domain.com). Таким образом, устанавливается TCP-соединение между клиентом-сервером и, похоже, дальнейшая регистрация сообщений должна работать.

Но тогда единственные новые строки, которые когда-либо появляются в файле журнала, это те, которые исходят от cls.domain.com. Никогда не приходят сообщения аудита от www22.domain.com.

Я проверил, что происходит, если для аудита www22.domain.com настроена также запись в локальный файл журнала аудита; затем локальный файл получает множество сообщений от аудита. Но по сети по-прежнему ничего не отправляется.

Как убедиться, что клиент auditd отправляет одни и те же сообщения по сети?