Gondolom nincs audit szabalyod a /var/spool/cups konyvtarra, vmi ilyesmit vegyel fel pl:
-w /var/spool/cups/ -p rw -k cups_spool_dir_access
es utana nezd meg ausearch-csel, az minden osszetartozo rekordot kikeres, abbol latszik, tenylegesen milyen felhasznaloval futott a filter.