Eu tenho um servidor apache que usa a configuração mod_security. Esses registros são analisados e enviados ao servidor OSSEC para detecção e monitoramento de intrusões.
Esse servidor OSSEC então envia esses logs para normalização e correlação de avanço para SIEM, o analisador no SIEM é capaz de analisar quietas algumas mensagens mod_sec, mas a mensagem de um tipo particular incluindo a carga útil
"rx ^%{tx.allowed_request_content_type}$"
não parece ser analisado no sistema SIEM. Em vez de alterar o código de análise no final do SIEM, o que pode parecer impossível devido à sua origem fechada, quero saber se há uma maneira de alterar a saída de log de maneira semelhante aos recursos do log personalizado do apache. A carga útil completa do log é mostrada abaixo: -
Sep 13 13:35:37 ossec-server ossec: Alert Level: 7; Rule: 50118 - Access attempt blocked by Mod Security.; Location: (WebServer) 127.0.0.1->/usr/local/apache2/logs/error_log; [Fri Sep 13 13:37:09.190450 2013] [:error] [pid 2584:tid 140049089795840] [client 127.0.0.1] ModSecurity: Access denied with code 403 (phase 1). Match of "rx ^%{tx.allowed_request_content_type}$" against "TX:0" required. [file "/usr/local/apache2/conf/modsecurity-crs/activated_rules/modsecurity_crs_30_http_policy.conf"] [line "64"] [id "960010"] [rev "2"] [msg "Request content type is not allowed by policy"] [data "application/octet-stream"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.8"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/POLICY/ENCODING_NOT_ALLOWED"] [tag "WASCTC/WASC-20"] [tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/EE2"] [tag "PCI/12.1"] [hostname "abc.com"] [uri "/"] [unique_id "UjLOtQoKUakAAAoYEh8AAAAO"]
Posso especificar o apache para não registrar o texto destacado acima ao gravar registros?
Tags logs apache-httpd http-logging