Como saber se o auditd suspendeu o log?

Observando o código-fonte (na versão 2.6.7), não há como recuperar o estado "suspenso" atual, a não ser anexar um depurador ao processo e fazer com que ele descarregue o valor da logging_suspendedvariável interna.

Você pode enviar uma mensagem de teste e verificar se ela é registrada. Dessa forma, você verificaria a condição suspensa , mas também qualquer coisa que impedisse o registro. Ou seja, você validaria que funciona corretamente o tempo todo.

msg="audit test $(uuidgen)" || exit # generate unique message
auditctl -m "$msg" || exit # send the unique message
sleep 1 # enough time for the message to be logged
ausearch -ts recent -m USER | grep -Fqe "$msg" && echo OK

Em um sistema CentOS que tenho em mãos, o que fazer quando várias limitações de espaço em disco são atendidas é estruturado ...

space_left = 75
space_left_action = SYSLOG
admin_space_left = 74
admin_space_left_action = SUSPEND

Isso faz com que esta mensagem seja emitida para o syslog quando o espaço livre na partição que abriga o log de auditoria fica abaixo de 75 MB

21 de maio 08:53:01 c6test auditd[5851]: o daemon de auditoria está com pouco espaço em disco para registro

Da mesma forma, quando o espaço fica abaixo de 74 MB, esta mensagem é emitida para o syslog

21 de maio 08:54:01 c6test auditd[5851]: o daemon de auditoria está suspendendo o registro devido ao pouco espaço em disco.

Portanto, para responder à sua pergunta, ele grava uma mensagem no syslog, que encontra o caminho para os logs do sistema, para que o monit possa ser configurado para procurá-lo.

Qual é a mensagem real e em qual arquivo de log ela é gravada provavelmente depende do sistema operacional e/ou distro.