我已经在modsecurity.conf中设置了SecAuditLogParts来loggingABFH,但是modsecurity审计日志却logging了-E-部分(response body),这使得审计日志太大了。
我能做些什么来禁用响应身体日志logging?
我想这是设置在你的规则。 举例来说,OWASP CRS在很多方面都有这样的function,可以明确地将正文logging到您使用SecAuditLogParts定义的任何内容中:
ctl:auditLogParts=+E 你可以用下面的方法完全closures身体的反应,然后不会logging在那里:
SecResponseBodyAccess Off
一方面,这是build议的几个原因:
另一方面,扫描出站实体可以有助于识别信息泄漏(源代码泄漏和/或数据库访问违规),并且closures此function显然可以阻止这种情况。
最佳做法是closures默认的静态文件SecResponseBodyAccess,然后启用它由应用程序生成的dynamic文件,并减less你的规则,以减less这些错误的警报。
我还假设你有以下设置只有在规则阻止时才能login审计日志?
SecAuditEngine RelevantOnly