Почему этот «aureport» показывает знак вопроса в поле «exe»?

Я пытаюсь отлаживать, почему мой сокет-докере меняет право собственности на еженедельной основе. Я создал правило журнала аудита на /var/run/docker.sock.

Отчет аудита показывает мне много событий, происходящих с этим сокетом, но он не показывает мне, какой процесс инициировал каждое событие. Вместо этого он печатает '?' в поле «exe». Почему это должно быть?

Вот несколько усеченных результатов:

     Основной отчет
 ===============================================
 # событие времени ключевое успешное событие exe auid
 ===============================================
 1. 03/04/17 06:54:09 docker-sock-attributes да?  -1 108449
 2. 03/04/17 06:54:09 docker-sock-attributes да?  -1 108450
 3. 03/04/17 06:54:10 docker-sock-attributes да?  -1 108453

Interesting Posts

Как определить строки в файлах на определенной длине

Несколько установок Grub?

ssh-порт для доступа к моей домашней машине из любого места

Как настроить внешние IP-адреса для гостей LXC?

Все еще нет выхода из перенаправления в задании cron

start-stop-daemon всегда возвращает «0», хотя процесс не выполняется

Как я могу разбить канал на 16 байтовых последовательностей?

Как создать загрузочный том EBS для Amazon Linux

Внезапно xkbcomp прекратил работу

RHEL / CentOS: Установка новой версии Java, почему бы просто не изменить путь?

Как сохранить переменные awk в области видимости?

Терминатор не будет открыт с профилем по умолчанию

Изменение свойств X-объекта Zombie из состояния Iconic в нормальное состояние

Почему Debian Linux поддерживает до 128TiB виртуальное адресное пространство для каждого процесса, но только физическую память 64TiB?

«Дерево глубины inode (на уровне 1) может быть короче IGNORED"

Linux и Unix - лучшая ОС в мире.