Isso deve ser definido alterando a SecDefaultAction definida no arquivo modsecurity_crs_10_setup.conf. O padrão é abaixo (exceto alterado de deny
para pass
para pontuação de anomalia) e registrará tudo no log de erros e de auditoria:
SecDefaultAction "phase:1,pass,log"
SecDefaultAction "phase:2,pass,log"
Para registrar isso no log de auditoria, use o seguinte:
SecDefaultAction "phase:1,pass,nolog,auditlog"
SecDefaultAction "phase:2,pass,nolog,auditlog"
É isso que está definido?
Você pode estar um pouco confuso sobre como isso vai parar de registrar as regras principais, mas não a regra de resumo (onde a pontuação da anomalia é verificada). A chave é que as regras normais (por exemplo, 960024) não definem o registro em log e apenas bloqueiam com base nos padrões, portanto, dependa desses padrões:
"phase:2,capture,t:none,t:urlDecodeUni,block,id:'960024'...etc.
Embora as regras que verificam as pontuações de anomalia (por exemplo, 981176) explicitamente "registrem" e "neguem", não é necessário que os padrões digam para fazer isso:
"chain,phase:2,id:'981176',t:none,deny,log
É por isso que alterar o padrão significa que as regras principais não fazem login no log de erros, mas as regras de anomalia de resumo fazem isso.
Portanto, isso deve resolver o primeiro alerta que você está recebendo incorretamente para a regra 973336, já que ele não deve estar logado.
O que eu não entendo, no entanto, é por que você está recebendo vários alertas para a regra 981176 - um para cada regra alertada. Isso parece errado para mim, já que deveria registrar uma vez para o último alerta.
No entanto, antes da 2.9.1, o ModSecurity estava usando seu próprio log de erros, em vez de usar o log padrão do Apache. então pode valer a pena tentar novamente após atualizar o ModSecurity para 2.9.1. Veja este bug para mais detalhes: link
Como alternativa, se isso não funcionar, tente enviar um e-mail para [email protected]. e perguntando por lá, como eles podem ter uma melhor compreensão de como a anomalia na criação de log deve funcionar (eu não uso isso para ser honesto). Veja link para mais detalhes desta lista de discussão.