Почему этот «aureport» показывает знак вопроса в поле «exe»?

Я пытаюсь отлаживать, почему мой сокет-докере меняет право собственности на еженедельной основе. Я создал правило журнала аудита на /var/run/docker.sock.

Отчет аудита показывает мне много событий, происходящих с этим сокетом, но он не показывает мне, какой процесс инициировал каждое событие. Вместо этого он печатает '?' в поле «exe». Почему это должно быть?

Вот несколько усеченных результатов:

     Основной отчет
 ===============================================
 # событие времени ключевое успешное событие exe auid
 ===============================================
 1. 03/04/17 06:54:09 docker-sock-attributes да?  -1 108449
 2. 03/04/17 06:54:09 docker-sock-attributes да?  -1 108450
 3. 03/04/17 06:54:10 docker-sock-attributes да?  -1 108453

Linux и Unix - лучшая ОС в мире.