Estou tentando depurar porque meu soquete do docker altera a propriedade semanalmente. Eu criei uma regra de log de auditoria em /var/run/docker.sock.
O relatório de auditoria mostra-me muitos eventos que acontecem a esse soquete, mas não é mostrando-me qual processo acionou cada evento. Em vez disso, imprime um '?' no campo 'exe'. Por que isso seria?
Veja alguns resultados truncados:
Key Report =============================================== # date time key success exe auid event =============================================== 1. 03/04/17 06:54:09 docker-sock-attributes yes ? -1 108449 2. 03/04/17 06:54:09 docker-sock-attributes yes ? -1 108450 3. 03/04/17 06:54:10 docker-sock-attributes yes ? -1 108453
Tags security audit linux-audit