Здравствуйте, я использую libmodsecurity (4e6e4243 | v3.0.3) на nginx (1.15.12) с коннектором, являющимся текущим мастером (d7101e13685), и OWASP CRS на (ab24a20faf28156f0 | v3.1.0).
Я пытаюсь зарегистрировать тело запроса POST (часть C в modsecurity) по определенному URL-адресу с чем-то похожим на следующее правило:
SecRule REQUEST_URI "/some_url/processor.php" \
"id:66600001,\
phase:2,\
t:none,\
log,\
ctl:auditLogParts=ABCIJDEFHZ,\
pass"
что приводит к тому, что nginx не запускается со следующей ошибкой:
Expecting an action, got: ctl:auditLogParts=ABCIJDEFHZ,\
Я пробовал несколько вариантов ctl, в том числе ctl:auditLogParts=ABCFHZ и ctl:auditLogParts=AC. Все выкидывают одну и ту же ошибку.
Любопытно делать это с ctl:auditLogParts=+C позволяет запускать nginx, но, к сожалению, журнал аудита не показывает тело запроса POST, на самом деле он ничего не показывает.
Конечно, изменение конфигурации SecAuditLogParts в modsecurity.conf с ABIJDEFHZ (по умолчанию) на ABCIJDEFHZ изменяет ведение журнала, но заставляет нас нарушать кучу правил.