Согласно в этом сообщении , к сожалению, не существует способа отфильтровать этот поток аудитов, связанных с cron, без возни с SElinux.
Очень неприятно.
Я считаю, что это так
auditctl -a never, user -F subj_type = crond_t
Работает за исключением 'type = LOGIN'
Затем:
auditctl всегда, исключать -F msgtype = LOGIN -F subj_type = crond_t
и все готово