Auditd не отправляет журналы на централизованный сервер журналов Auditd

Мы настроили централизованное ведение журнала сообщений Auditd для двух машин:

• машина (www22.domain.com) является источником (centos8)
• машина (cls.domain.com) — это централизованный сервер журналов (centos7)

Это было сделано стандартным способом с использованием плагина auditd+audisp, отправляющего данные на сервер Auditd, прослушивающий порт 60, например, как описано здесь:

https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/

Но затем, когда я просматриваю журнал аудита на централизованном сервере журналов после перезапуска клиента Auditd на источнике, единственное, что появляется, это строки

node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=success

где ::ffff:xyz152, очевидно, из-за некоторых пакетов с IP-адреса xyx152 (адрес www22.domain.com). Таким образом, TCP-соединение между клиентом и сервером устанавливается, и, похоже, дальнейшая регистрация сообщений должна работать.

Но тогда единственные новые строки, которые когда-либо появляются в файле журнала, это те, которые происходят от cls.domain.com. Сообщений аудита от www22.domain.com никогда не бывает.

Я проверил, что происходит, если auditd www22.domain.com настроен на запись также в локальный файл журнала аудита; тогда локальный файл получает много сообщений от аудита. Но по сети все равно ничего не отправляется.

Как убедиться, что клиент Auditd отправляет одинаковые сообщения по сети?