我想知道是否有某种方式在ModSecurity Apache2模块(版本2.9.1)如何将错误消息记录到由SecDebugLog选项指定的日志文件中,但不要将它们复制到标准的Apache错误日志文件中?ModSecurity - 禁用日志记录到标准的Apache错误日志
根据ModSecurity文档,两个日志文件中的错误消息总是加倍:带有级别1-3的消息被设计为有意义的,并被复制到Apache的错误日志中。但我想保持ModSecurity的东西分开,不要混淆标准的错误日志。
您可以从任何规则中删除log,并且只留下auditlog。
如果使用OWASP CRS然后更改此默认操作:
SecDefaultAction "phase:1,deny,log"
SecDefaultAction "phase:2,deny,log"
这样:
SecDefaultAction "phase:1,deny,nolog,auditlog"
SecDefaultAction "phase:2,deny,nolog,auditlog"
这将关闭所有的日志记录,但随后再次打开auditlogging。
您可能还想为第3阶段和第4阶段添加类似项,具体取决于您是否还检出出站流量。
不过,我想真的,真的,对这个真的谨慎了许多的原因:
你最终将阻止与ModSecurity的规则的东西,不知道为什么它的发生并跳过审核日志并责备阿帕奇。相信我。 “为什么当我看到页面存在时这个请求返回403?!?!”至少如果在错误日志中,那么你又有机会明白为什么这样。
错误日志中的条目在一行中。这使得收集,解析和处理Splunk等工具中的错误变得更加容易。审计日志分布在多行,因此机器可读性较差。而你应该应该定期审查你的WAF日志,而不是假设它正常工作,只有在出现问题时才查看日志。也许不是每个日志级别都详细说明的。伊万·里斯蒂奇,ModSecurity的的原创者,recently tweeted:
“如果你不使用你的WAF作为IDS,你这样做是不对的。”