我想知道是否有某種方式在ModSecurity Apache2模塊(版本2.9.1)如何將錯誤消息記錄到由SecDebugLog選項指定的日誌文件中,但不要將它們複製到標準的Apache錯誤日誌文件中?ModSecurity - 禁用日誌記錄到標準的Apache錯誤日誌
根據ModSecurity文檔,兩個日誌文件中的錯誤消息總是加倍:帶有級別1-3的消息被設計爲有意義的,並被複制到Apache的錯誤日誌中。但我想保持ModSecurity的東西分開,不要混淆標準的錯誤日誌。
您可以從任何規則中刪除log,並且只留下auditlog。
如果使用OWASP CRS然後更改此默認操作:
SecDefaultAction "phase:1,deny,log"
SecDefaultAction "phase:2,deny,log"
這樣:
SecDefaultAction "phase:1,deny,nolog,auditlog"
SecDefaultAction "phase:2,deny,nolog,auditlog"
這將關閉所有的日誌記錄,但隨後再次打開auditlogging。
您可能還想爲第3階段和第4階段添加類似項,具體取決於您是否還檢出出站流量。
不過,我想真的,真的,對這個真的謹慎了許多的原因:
你最終將阻止與ModSecurity的規則的東西,不知道爲什麼它的發生並跳過審覈日誌並責備阿帕奇。相信我。 「爲什麼當我看到頁面存在時這個請求返回403?!?!」至少如果在錯誤日誌中,那麼你又有機會明白爲什麼這樣。
錯誤日誌中的條目在一行中。這使得收集,解析和處理Splunk等工具中的錯誤變得更加容易。審計日誌分佈在多行,因此機器可讀性較差。而你應該應該定期審查你的WAF日誌,而不是假設它正常工作,只有在出現問題時才查看日誌。也許不是每個日誌級別都詳細說明的。伊萬·里斯蒂奇,ModSecurity的的原創者,recently tweeted:
「如果你不使用你的WAF作爲IDS,你這樣做是不對的。」