我正在尝试调试为什么我的 docker 套接字每周都会更改所有权。我在 /var/run/docker.sock 上创建了审核日志规则。
审计报告向我显示了该套接字上发生的许多事件,但它没有向我显示哪个进程触发了每个事件。相反,它打印一个“?”在“exe”字段中。为什么会这样呢?
这是一些截断的输出:
重点报告 ================================================= # 日期时间关键成功 exe auid 事件 ================================================= 1. 03/04/17 06:54:09 docker-sock-attributes 是吗? -1 108449 2. 03/04/17 06:54:09 docker-sock-attributes 是吗? -1 108450 3. 03/04/17 06:54:10 docker-sock-attributes 是吗? -1 108453