Estou tentando depurar porque meu soquete do docker altera a propriedade semanalmente. Eu criei uma regra de log de auditoria em /var/run/docker.sock.
O relatório de auditoria mostra-me muitos eventos que acontecem a esse soquete, mas não é mostrando-me qual processo acionou cada evento. Em vez disso, imprime um '?' no campo 'exe'. Por que isso seria?
Veja alguns resultados truncados:
Key Report
===============================================
# date time key success exe auid event
===============================================
1. 03/04/17 06:54:09 docker-sock-attributes yes ? -1 108449
2. 03/04/17 06:54:09 docker-sock-attributes yes ? -1 108450
3. 03/04/17 06:54:10 docker-sock-attributes yes ? -1 108453
Tags security audit linux-audit