我目前在 Ubuntu Trusty 上使用 ModSecurity 2.7 和 Apache 2.4.7。
我想使用 Apache 的LogFormat和CustomLog指令,以便我可以包含一个字段,指示 ModSecurity 是否决定允许请求继续进行,或者它是否阻止了请求。
我还想包含一个字段,指示允许的请求是否触发了任何仅警告的 ModSecurity 规则。我不关心这是否需要是两个不同的字段,或者只是一个,只要信息出现在每个 Apache 日志行上。
有文档建议我可以使用mod_log_config和%{...}M语法在 Apache 日志中包含 ModSecurity 变量,但我不知道哪些变量会给我必要的信息。
我明确地尝试维护SecAuditEngine RelevantOnly并且不需要为每个请求提供完整的审核日志。我也希望避免使用mod_unique_id或类似方法进行交叉对数关联。
这可能吗。如何?
尝试以不寻常的响应状态进行阻止,然后将其记录在日志中。对于警告,请使用 HIGHEST_SEVERITY。
(通过https://twitter.com/ivanristic/status/632098551603052544)
http://resources.infosecinstitute.com/analyzing-mod-security-logs/
SecAuditLogParts:审核日志非常大,因为它记录了有关请求的所有内容,例如请求标头、响应标头、请求正文和正文响应等。因此,通过此选项,我们实际上可以告诉 Mod Security 应该在错误日志中记录什么以及应该忽略什么。为了做到这一点,每个部分都被分配了一个字母表。这是一个表,其中定义了每个字母的含义。