Comment activer la dernière demande ModSecurity Enregistrement Apache

J'utilise actuellement ModSecurity 2.7 et Apache 2.4.7 dans Ubuntu Trusty.

Je voudrais utiliser Apache

LogFormat

et

CustomLog

Directives pour que je puisse activer le champ indiquant si ModSecurity Permettre l'exécution de la requête ou bloquée la demande.

Je voudrais également activer le champ indiquant si la demande autorisée est vraiment en cours d'exécution des règles ModSecurity Seulement pour les avertissements. Je ne me soucie pas si cela devrait être deux champs différents ou un seul si les informations sont présentes dans chaque ligne du magazine Apache.

Il y a
https://github.com/SpiderLabs/ ... onfig
Cela suggère que je peux utiliser

mod_log_config

et

%{...}M

Syntaxe pour allumer des variables ModSecurity Enregistrer Apache, Mais je ne sais pas quelles variables me donneront les informations nécessaires.

J'essaie évidemment de sauver

SecAuditEngine RelevantOnly

Et ne nécessite pas de journal d'audit complet pour chaque demande. J'espère également éviter la nécessité d'effectuer une corrélation transversale logarithmique en utilisant

mod_unique_id

ou similaire.

C'est possible. Comment?
Invité:

Emilie

Confirmation de:

Essayez de verrouiller avec un état de réponse inhabituelle, puis écrivez-le sur le journal. Pour les avertissements, utiliser HIGHEST_SEVERITY.

(de l'autre côté
https://twitter.com/ivanristic ... 52544
)

Babette

Confirmation de:

http://resources.infosecinstit ... logs/
SecAuditLogParts: Le journal d'audit est assez important car il enregistre tout sur la demande, telle qu'une en-tête de demande, un en-tête de réponse, un organe de requête et une réponse corporelle, etc. Ainsi, en utilisant cette option, nous pouvons réellement signaler le module de sécurité, qui devrait être enregistré dans des erreurs de journaux. Et ce qui devrait être ignoré. Pour cela, chaque partie est attribuée un alphabet. Voici une table dans laquelle les valeurs de chaque alphabet sont définies.

Pour répondre aux questions, connectez-vous ou registre