我目前在Ubuntu Trusty上使用ModSecurity 2.7和Apache 2.4.7。
我想使用Apache的LogFormat和CustomLog指令,以便我可以包含一个字段,指示ModSecurity是否决定允许请求继续执行还是阻止请求。
我还想包含一个字段,指示允许的请求是否触发了任何仅限警告的ModSecurity规则。 我不关心这是否需要两个不同的领域,或只是一个,只要信息出现在每个Apache日志行上。
有文档build议我可以使用mod_log_config和%{...}M语法在Apache日志中包含ModSecurityvariables,但我不知道哪些variables会给我必要的信息。
我明确地试图维护SecAuditEngine RelevantOnly并且不要求每个请求的完整审计日志。 我也希望避免使用mod_unique_id或类似的做交叉日志关联的需要。
这可能吗。 怎么样?
尝试使用不寻常的响应状态进行阻止,然后将其logging在日志中。 对于警告,使用HIGHEST_SEVERITY。
(通过https://twitter.com/ivanristic/status/632098551603052544 )
http://resources.infosecinstitute.com/analyzing-mod-security-logs/
SecAuditLogParts:审计日志是相当大的,因为它logging了关于请求的所有内容,例如请求头,响应头,请求体和身体响应等等。所以,通过这个选项,我们实际上可以告诉Mod Security在错误日志中应该logging什么什么应该被忽略。 为了做到这一点,每个部分都被分配一个字母表。 这里是定义每个字母表意义的表格。