Я в настоящее время использую ModSecurity 2.7 и Apache 2.4.7 на Надежном человеке Ubuntu.
Я хотел бы использовать Apache LogFormat
и CustomLog
директивы так, чтобы я мог включать поле, указывающее, решил ли ModSecurity позволить запросу продолжаться или заблокировал ли он запрос.
Я также хотел бы включать поле, указывающее, инициировал ли позволенный запрос действительно какие-либо правила ModSecurity только для предупреждения. Я не заинтересован, должно ли это быть двумя различными полями, или всего один, пока информация присутствует на каждой строке журнала Apache.
Существует документация, которая предполагает, что я могу использовать mod_log_config
и %{...}M
синтаксис для включения переменных ModSecurity в Apache регистрируется, но я не знаю, какие переменные дали бы мне необходимую информацию.
Я явно пытаюсь поддержать SecAuditEngine RelevantOnly
и не требуют полного контрольного журнала для каждого запроса. Я также надеюсь избежать потребности сделать использование корреляции перекрестного журнала mod_unique_id
или подобный.
Это возможное. Как?
Попробуйте блокировать с необычным статусом ответа, затем занесите это в журнал. For warnings, use HIGHEST_SEVERITY.
(via https://twitter.com/ivanristic/status/632098551603052544)
http://resources.infosecinstitute.com/analyzing-mod-security-logs/
SecAuditLogParts: журнал аудита довольно большой, поскольку в нем регистрируется все, что касается запроса, например заголовок запроса, заголовок ответа, тело запроса и ответ тела и т. д. Таким образом, с помощью этой опции мы можем фактически указать Mod Security, что следует регистрировать в журналах ошибок, а что следует игнорировать. Для этого каждой части присваивается алфавит. Вот таблица, в которой определены значения каждого алфавита.