В настоящее время я использую ModSecurity 2.7 и Apache 2.4.7 в Ubuntu Trusty.
Я хотел бы использовать Apache LogFormat
и CustomLog
директивы, чтобы я мог включить поле, показывающее, решила ли ModSecurity разрешить выполнение запроса или заблокировала запрос.
Я также хотел бы включить поле, показывающее, действительно ли разрешенный запрос запускает какие-либо правила ModSecurity только для предупреждений. Меня не волнует, должны ли это быть два разных поля или только одно, если информация присутствует в каждой строке журнала Apache.
Там есть документация это говорит о том, что я могу использовать mod_log_config
и %{...}M
синтаксис для включения переменных ModSecurity в журнал Apache, но я не знаю, какие переменные дадут мне необходимую информацию.
Я явно пытаюсь сохранить SecAuditEngine RelevantOnly
и не требовать полный журнал аудита для каждого запроса. Я также надеюсь избежать необходимости выполнять кросс-логарифмическую корреляцию, используя mod_unique_id
или похожие.
Это возможно. Как?
Попробуйте выполнить блокировку с необычным статусом ответа, а затем запишите это в журнал. Для предупреждений используйте HIGHEST_SEVERITY.
(через https://twitter.com/ivanristic/status/632098551603052544)
http://resources.infosecinstitute.com/analyzing-mod-security-logs/
SecAuditLogParts: журнал аудита довольно большой, поскольку он регистрирует все о запросе, например, заголовок запроса, заголовок ответа, тело запроса и ответ тела и т. Д. Таким образом, с помощью этой опции мы можем фактически сообщить модулю безопасности, что должно быть зарегистрировано в журналах ошибок. и что следует игнорировать. Для этого каждой части присваивается алфавит. Вот таблица, в которой определены значения каждого алфавита.