Por que esse 'aureport' mostra um ponto de interrogação no campo 'exe'?

1

Estou tentando depurar porque meu soquete do docker altera a propriedade semanalmente. Eu criei uma regra de log de auditoria em /var/run/docker.sock.

O relatório de auditoria mostra-me muitos eventos que acontecem a esse soquete, mas não é mostrando-me qual processo acionou cada evento. Em vez disso, imprime um '?' no campo 'exe'. Por que isso seria?

Veja alguns resultados truncados:

    Key Report
===============================================
# date time key success exe auid event
===============================================
1. 03/04/17 06:54:09 docker-sock-attributes yes ? -1 108449
2. 03/04/17 06:54:09 docker-sock-attributes yes ? -1 108450
3. 03/04/17 06:54:10 docker-sock-attributes yes ? -1 108453
    
por Andrew 03.04.2017 / 01:49

0 respostas