Eu imagino que isso está definido em suas regras. O OWASP CRS, por exemplo, tem isso em muitos deles para registrar explicitamente o corpo para o que você definiu usando SecAuditLogParts:
ctl:auditLogParts=+E
Você pode desativar totalmente as respostas corporais com o seguinte, e isso não será registrado:
SecResponseBodyAccess Off
Por um lado, isso deve ser recomendado por alguns motivos:
- Desempenho. A varredura de corpos de resposta leva tempo e, quando a maioria dos corpos é HTML estático, isso não faz muito sentido.
- Existem problemas com as respostas do ModSecurity e do GZIP (embora possa haver algum progresso nisso, aparentemente de acordo com um tópico recente em Grupo de correio de usuários do ModSecurity . Isso está sendo acompanhado aqui: link )
- Preenche os arquivos de log conforme você descobriu.
- Pode levar a muitos alertas falsos.
Por outro lado, a varredura de corpos de saída pode ser útil para identificar vazamentos de informações (vazamentos de código-fonte e / ou violações de acesso ao banco de dados) e desativá-lo obviamente.
A melhor prática é desativar o SecResponseBodyAccess por padrão para arquivos estáticos, mas, em seguida, ativá-lo para arquivos dinâmicos gerados pelo aplicativo e reduzir suas regras para reduzir alertas falsos para eles.
Eu também presumo que você tenha o seguinte conjunto para fazer login apenas no log de auditoria quando uma regra é bloqueada?
SecAuditEngine RelevantOnly