opion

Этот ваш вариант почти верный:
auditctl -a always,exit -F arch=b64 -S open -F path=/etc/

Для директории не надо указывать последний слеш, т.е. в вашем случае вот так будет работать:
auditctl -a always,exit -F arch=b64 -S open -F path=/etc