Почему этот «aureport» показывает знак вопроса в поле «exe»?

Я пытаюсь отлаживать, почему мой сокет-докере меняет право собственности на еженедельной основе. Я создал правило журнала аудита на /var/run/docker.sock.

Отчет аудита показывает мне много событий, происходящих с этим сокетом, но он не показывает мне, какой процесс инициировал каждое событие. Вместо этого он печатает '?' в поле «exe». Почему это должно быть?

Вот несколько усеченных результатов:

     Основной отчет
 ===============================================
 # событие времени ключевое успешное событие exe auid
 ===============================================
 1. 03/04/17 06:54:09 docker-sock-attributes да?  -1 108449
 2. 03/04/17 06:54:09 docker-sock-attributes да?  -1 108450
 3. 03/04/17 06:54:10 docker-sock-attributes да?  -1 108453

  • Пользовательские модули PAM и соображения безопасности
  • Выясните, используется ли моя система в качестве бота, если посмотреть на ifconfig?
  • Как узнать, какие файлы будут включены в ядро ​​linux, прежде чем я его создам?
  • Безопасное чтение и синтаксический анализ строки из параметра или файла в bash
  • Как создать нового пользователя без собственной FS, но с доступом к записи только в одну папку пользователя, которая его создает?
  • Как заблокировать диапазон IP-адресов с помощью экземпляра Amazon EC2?
  • Инструмент мониторинга без веб-интерфейса
  • Где найти журналы / информацию об автоматических обновлениях (apt)?
  • Как запустить зашифрованный захват веб-камеры при входе в систему?
  • Могу ли я автоматизировать сбор share cifs без сохранения моего пароля в открытом виде?
  • Разрешить пользователю без пароля изменять пароль другому пользователю без пароля
  • Является ли / dev / random data псевдо-случайным AES cypher, и откуда берется энтропия?
  • Interesting Posts
    Linux и Unix - лучшая ОС в мире.