Интересно, можно ли изменить формат времени, который Modsecurity 3 использует в журнале аудита. Я столкнулся с тем, что формат времени отличается в зависимости от SecAuditLogFormat настройка. Когда это Native, часовой пояс присутствует:
---immbqR4e---A--
[16/Jun/2020:11:24:03 +0300]
Но если переключиться на JSON, часового пояса нет (время местное, а не UTC):
"time_stamp":"Tue Jun 16 11:24:03 2020"
Это довольно неудобно для агрегирования и обработки журналов, особенно когда сервер, на котором работает Modsecurity, находится в регионе с летним временем. К сожалению, мне не удалось найти никакой информации по этому поводу. Буду признателен за любой совет.
Вы пытались редактировать SecAuditLogParts
SecAuditLogParts АBCFЧАСZ
ЧАС Трейлер журнала аудита
Содержит информацию о том, был ли запрос разрешен или отклонен, а также соответствующий код состояния HTTP, а также сообщение ModSecurity в том виде, в котором оно отображается в журнале ошибок Apache. Также содержит отметка времени и строка сервера (как бы она выглядела без каких-либо изменений, которые могли быть внесены в нее с помощью SecServerSignature).
А Заголовок журнала аудита
Граница, обозначающая начало записи журнала аудита.
Содержит отметку времени и даты записи журнала, а также IP-адрес клиента и сервера. Также содержит уникальный идентификатор записи журнала, который упрощает поиск запроса в файлах журнала Apache.
Этот параметр является обязательным и будет включен неявно, если вы его не укажете.