在/ tmp上创建了名为“ file *”的随机空文件

我有两个RHEL 6.10服务器，其中/ tmp不断填充着数千个具有以下名称的文件

-rw-rw-r--. 1 root    root        0 Feb 22 17:30 fileoQ1gE0
-rw-rw-r--. 1 root    root        0 Feb 22 17:31 fileTFa0e7
-rw-rw-r--. 1 root    root        0 Feb 22 17:32 fileSxEdEa
-rw-rw-r--. 1 root    root        0 Feb 22 17:33 filegoLf6g
-rw-rw-r--. 1 root    root        0 Feb 22 17:34 filebj3CJv
-rw-rw-r--. 1 root    root        0 Feb 22 17:35 fileEVJerA
-rw-rw-r--. 1 root    root        0 Feb 22 17:36 file5X9G3G
-rw-rw-r--. 1 root    root        0 Feb 22 17:37 fileScyBJY
-rw-rw-r--. 1 root    root        0 Feb 22 17:38 filePCq3K0
-rw-rw-r--. 1 root    root        0 Feb 22 17:39 filePnBcVp
-rw-rw-r--. 1 root    root        0 Feb 22 17:40 fileTbupIR
-rw-rw-r--. 1 root    root        0 Feb 22 17:41 file4jmFGS
-rw-rw-r--. 1 root    root        0 Feb 22 17:42 fileBP8HL0
-rw-rw-r--. 1 root    root        0 Feb 22 17:43 fileb605If
-rw-rw-r--. 1 root    root        0 Feb 22 17:44 file8Rubgm
-rw-rw-r--. 1 root    root        0 Feb 22 17:45 file7UJEJr
-rw-rw-r--. 1 root    root        0 Feb 22 17:46 filethKoZv
-rw-rw-r--. 1 root    root        0 Feb 22 17:47 fileJEVJpL
-rw-rw-r--. 1 root    root        0 Feb 22 17:48 filebeLOuP
-rw-rw-r--. 1 root    root        0 Feb 22 17:49 fileN1VVJU
-rw-rw-r--. 1 root    root        0 Feb 22 17:50 fileHO9fll
-rw-rw-r--. 1 root    root        0 Feb 22 17:51 filejEj1Rq
-rw-rw-r--. 1 root    root        0 Feb 22 17:52 fileMPnCWJ

Root的crontab没有任何功能，有什么办法可以知道在这里创建文件的进程是什么？即使它们是0字节，也让我感到困扰，因为我只是不知道为什么创建它们。

启用auditd并编写一些规则，以监视此目录的写类型权限。

-w /tmp -p w -k tmp

如何监视对特定目录或文件的权限，所有权或任何其他更改

RHEL 6安全指南>第7章。系统审核

也许快速lsof|grep /tmp/file吐出文件所属的PID？