Nesse meio tempo, descobri que o log de auditoria seccomp agora vai para /var/log/audit/audit.log
em vez de syslog, depois que eu instalei auditd
para obter a ferramenta ausyscall. Sem a ferramenta, os logs não vão a lugar nenhum.
O arquivo contém linhas como
type=SECCOMP msg=audit(1444422928.758:649196): auid=0 uid=100033 gid=100033 ses=1 pid=18459 comm="nginx" exe="/usr/sbin/nginx" sig=31 arch=c000003e syscall=288 compat=0 ip=0x7f2f71555467 code=0x0
Que dizem claramente qual processo e qual syscall violou as regras - isso me ajuda muito.
Mas deixo esta questão em aberto. Ainda existem perguntas sem resposta e ainda estou procurando uma maneira mais eficiente de configurar esse arquivo de lista de permissões do que tentar & erro.