为什么这个“aureport”在“exe”字段中显示一个问号?

为什么这个“aureport”在“exe”字段中显示一个问号?

我正在尝试调试为什么我的 docker 套接字每周都会更改所有权。我在 /var/run/docker.sock 上创建了审核日志规则。

审计报告向我显示了该套接字上发生的许多事件,但它没有向我显示哪个进程触发了每个事件。相反,它打印一个“?”在“exe”字段中。为什么会这样呢?

这是一些截断的输出:

    重点报告
=================================================
# 日期时间关键成功 exe auid 事件
=================================================
1. 03/04/17 06:54:09 docker-sock-attributes 是吗? -1 108449
2. 03/04/17 06:54:09 docker-sock-attributes 是吗? -1 108450
3. 03/04/17 06:54:10 docker-sock-attributes 是吗? -1 108453

相关内容