Я установил SecAuditLogParts в modsecurity.conf так, чтобы он регистрировал только ABFH, но журнал аудита modsecurity ведет журнал -E- part (тело ответа), что делает журнал аудита слишком большим.
Что я могу сделать, чтобы отключить ведение журнала тела ответа?
Я полагаю, это установлено в ваших правилах. Например, OWASP CRS имеет это во многих из них, чтобы явно регистрировать тело в соответствии с тем, что вы определили с помощью SecAuditLogParts:
ctl:auditLogParts=+E
Вы можете полностью отключить ответы тела с помощью следующего, и тогда это не будет там регистрироваться:
SecResponseBodyAccess Off
С одной стороны, это следует рекомендовать по нескольким причинам:
С другой стороны, сканирование исходящих тел может быть полезно для выявления утечек информации (утечек исходного кода и / или нарушений доступа к базе данных), и отключение этого параметра, очевидно, останавливает это.
Лучше всего отключить SecResponseBodyAccess по умолчанию для статических файлов, но затем включить его для динамических файлов, созданных приложением, и сократить свои правила, чтобы уменьшить количество ложных предупреждений для них.
Я также предполагаю, что у вас есть следующий набор для входа в журнал аудита только при блокировке правила?
SecAuditEngine RelevantOnly