Tente algo assim:
aureport --syscall | fgrep httpd | tail
Veja a última coluna em cada linha, deve ser um número (por exemplo, 5432), então pegue esse número e examine o log de auditoria da seguinte forma:
ausearch --event 5432
Você pode ver detalhes em um formato mal legível, mas pelo menos você pode ter alguma pista sobre nomes de arquivos e o que está tentando acessar. Cada número é uma referência a um evento individual, assim você pode ter que trabalhar o seu caminho através deles.