Назад | Перейти на главную страницу

Как включить последнее действие запроса ModSecurity в журнал доступа Apache

В настоящее время я использую ModSecurity 2.7 и Apache 2.4.7 в Ubuntu Trusty.

Я хотел бы использовать Apache LogFormat и CustomLog директивы, чтобы я мог включить поле, показывающее, решила ли ModSecurity разрешить выполнение запроса или заблокировала запрос.

Я также хотел бы включить поле, показывающее, действительно ли разрешенный запрос запускает какие-либо правила ModSecurity только для предупреждений. Меня не волнует, должны ли это быть два разных поля или только одно, если информация присутствует в каждой строке журнала Apache.

Там есть документация это говорит о том, что я могу использовать mod_log_config и %{...}M синтаксис для включения переменных ModSecurity в журнал Apache, но я не знаю, какие переменные дадут мне необходимую информацию.

Я явно пытаюсь сохранить SecAuditEngine RelevantOnly и не требовать полный журнал аудита для каждого запроса. Я также надеюсь избежать необходимости выполнять кросс-логарифмическую корреляцию, используя mod_unique_id или похожие.

Это возможно. Как?

Попробуйте выполнить блокировку с необычным статусом ответа, а затем запишите это в журнал. Для предупреждений используйте HIGHEST_SEVERITY.

(через https://twitter.com/ivanristic/status/632098551603052544)

http://resources.infosecinstitute.com/analyzing-mod-security-logs/

SecAuditLogParts: журнал аудита довольно большой, поскольку он регистрирует все о запросе, например, заголовок запроса, заголовок ответа, тело запроса и ответ тела и т. Д. Таким образом, с помощью этой опции мы можем фактически сообщить модулю безопасности, что должно быть зарегистрировано в журналах ошибок. и что следует игнорировать. Для этого каждой части присваивается алфавит. Вот таблица, в которой определены значения каждого алфавита.