Auditd — SOCKADDR — AF_LOCAL — Проблемы с разбором

Я решил проанализировать запись журнала аудита, содержащую событие SOCKADDR. Я сталкиваюсь с проблемами с дополнительными данными и пытаюсь определить, откуда они берутся и какова их структура.

Текущий размер данных, который я вижу, составляет всего 220 шестнадцатеричных символов, включая семью.

На основе приведенной ниже структуры ссылка: https://linux.die.net/man/7/unix

      #define UNIX_PATH_MAX    108

struct sockaddr_un {
    sa_family_t sun_family;               /* AF_UNIX */
    char        sun_path[UNIX_PATH_MAX];  /* pathname */
};

Я провел синтаксический анализ записи журнала, как показано ниже.

Audit.log -> запись SOCKADDR -> начало разбора поля saddr:

      1. Read 4 bytes = 0100 = AF_LOCAL
2. Read remainder of field into variable 

После синтаксического анализа sun_family в данных осталось больше структурированных 108 байтов.

Может ли кто-нибудь указать мне в правильном направлении, откуда берутся эти данные и какой должна быть структура?

Спасибо за помощь.