Como incluir a ação final do ModSecurity no Apache access.log

5

Atualmente estou usando o ModSecurity 2.7 e o Apache 2.4.7 no Ubuntu Trusty.

Eu gostaria de usar as diretivas LogFormat e CustomLog do Apache para que eu possa incluir um campo indicando se o ModSecurity decidiu permitir que uma solicitação continue ou se ela bloqueou uma solicitação.

Também gostaria de incluir um campo indicando se uma solicitação permitida acionou qualquer regra do ModSecurity somente de aviso. Não estou preocupado se isso precisa ser dois campos diferentes, ou apenas um, desde que a informação esteja presente em cada linha de log do Apache.

Existe documentação que sugere que posso usar a sintaxe mod_log_config e %{...}M para inclua variáveis ModSecurity no log do Apache, mas não sei quais variáveis me forneceriam as informações necessárias.

Estou explicitamente tentando manter SecAuditEngine RelevantOnly e não exigir um log de auditoria completo para cada solicitação. Também estou esperando evitar a necessidade de fazer correlação entre logs usando mod_unique_id ou similar.

Isso é possível. Como?

    
por Jason Stangroome 06.08.2015 / 01:56

2 respostas

0

Tente bloquear com um status de resposta incomum e, em seguida, registre isso no registro. Para avisos, use HIGHEST_SEVERITY.

(via link )

    
por 17.08.2015 / 00:37
-1

link

SecAuditLogParts: O log de auditoria é muito grande, pois registra tudo sobre a solicitação, como Cabeçalho da Solicitação, Cabeçalho da Resposta, Corpo da Solicitação e Resposta Corporal, etc. Assim, através dessa opção, podemos informar ao Mod Security o que deve ser registrado os logs de erro e o que deve ser ignorado. Para fazer isso, cada parte é atribuída a um alfabeto. Aqui está a tabela na qual o significado de cada alfabeto é definido.

    
por 10.08.2015 / 15:51