Yes Barry's questions

根据这个建议，我对我的配置进行了一些更改：

SecAction \
    "id:901321,\
    phase:1,\
    pass,\
    t:none,\
    nolog,\
    initcol:global=global,\
    initcol:ip=%{x-forwarded-for}_%{tx.ua_hash},\
    setvar:'tx.real_ip=%{x-forwarded-for}'"

但似乎什么也没有发生。我注意到我的 apache error_log 使用默认错误日志格式并将所有内容记录为 127.0.0.1。

所以我把我ErrorLogFormat的改为：

ErrorLogFormat "[%{u}t] [%-m:%l] [pid %P:tid %T] %7F: %E: [client\ %{X-Forwarded-For}i] %M% ,\ referer\ %{Referer}i"

这让我的日志更好，但 ModSecurity 仍然没有做任何阻塞。奇怪的是，apache error_log 中的大多数 ModSec 日志中都有一个额外的客户端 IP 部分：

[Wed May..2019] [err] [pid X:tid X] [client XXX.XX.XX.XXX] [client 127.0.0.1] ModSecurity: Warning...

我不知道额外[client 127.0.0.1]的来自哪里 - 我知道它肯定只对 error_log 中的 ModSecurity 日志执行此操作。

似乎 ModSecurity 要么不断尝试阻止 127.0.0.1，要么只是不阻止任何东西..

那么如何让 ModSecurity 使用X-Forwarded-For标头进行阻止呢？

笔记

1. 我确实设置SecRuleEngine On正确。
2. 版本：Apache 2.4、ModSecurity 2.9、OWASP 3

当 URI 中存在某些值时，我试图禁用规则 942100（一条 SQLi 规则），但 apache 不会启动，所以出现了问题。

我的尝试（在 REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf 中）：

SecRule ARGS "@rx (m[inax]{2}[_\w]+)\-{3}[ade]{1,2}sc" \
    "id:942100,\
    phase:2,\
    pass,\
    nolog,noauditlog,\
    ctl:ruleRemoveById=942100"

这个想法是这样的，例如“min_width---asc”和“max_height_or_width---desc”之类的URI值不会被ModSec标记。我需要删除这些误报，但它不起作用。

我知道可以对子域别名使用通配符，例如：

ServerAlias *.domain.com

但是是否可以将它用于具有相同子域的域？

# like this
ServerAlias subdomain.*.com

我想知道是否有人知道监控服务器流量峰值的任何软件（如果可能的话最好是免费的）？比如说，可能会通过电子邮件或任何与此相关的方式发送通知，让您知道目前流量异常高。

谢谢！