Un peu tard pour la fête, mais au cas où cela vous aiderait encore vous ou d'autres à chercher...
Les journaux d'audit Linux ne sont pas vraiment destinés à être consultés directement dans le fichier journal brut - ils sont destinés à être consultés et analysés à l'aide d'outils tels que "ausearch" et "aureport". Beaucoup de choses (y compris même les horodatages) sont stockées au format hexadécimal, mais vous pouvez dire à ausearch d'interpréter les éléments hexadécimaux, ainsi que de traduire les UID/GID en noms, en utilisant l'option "-i". Par défaut, ausearch utilise le fichier "/var/log/audit/audit.log", mais vous pouvez également afficher un fichier spécifique avec l'option "-if filename". Par exemple, j'ai coupé-collé vos lignes spécifiques dans un fichier temporaire et j'ai obtenu les résultats suivants :
$ ausearch -if temp_audit.log -i
----
type=EXECVE msg=audit(03/03/2015 18:56:05.480:57967) : argc=3 a0=bash a1=-c a2=ls /etc/init.d | grep -E '[0-9a-z]{10}' | awk '{print $1}' | xargs killall
----
type=EXECVE msg=audit(03/04/2015 18:06:02.928:72792) : argc=3 a0=bash a1=-c a2=killall 777 httpd
----
type=EXECVE msg=audit(03/04/2015 18:06:06.832:72800) : argc=3 a0=bash a1=-c a2=rm -f /tmp/httpd*
----
type=EXECVE msg=audit(03/04/2015 18:06:06.832:72801) : argc=3 a0=rm a1=-f a2=/tmp/httpd*
Avec auditd il encode de longs arguments en HEX et peut être décodé de plusieurs façons, dont l'une avec xxd .
echo 6C73202F6574632F696E69742E64207C2067726570202D4520275B302D39612D7A5D7B31307D27207C2061776B20277B7072696E742024317D27207C207861726773206B696C6C616C6C | xxd -r -p
ls /etc/init.d | grep -E '[0-9a-z]{10}' | awk '{print $1}' | xargs killall