ModSecurity審計日誌規則限制

Question

有沒有辦法限制出現在ModSecurity每個日誌條目中的規則數量？

--173fad2e-A-- 
[27/Apr/2016:17:15:25 +0530] VyCmVMCoAwUAAAohwTgAAAAA 127.0.0.1 33330 127.0.0.1 80 

[...] 

--173fad2e-H-- 
Message: Warning. Pattern match "^5\\d{2}$" at RESPONSE_STATUS. [file "/etc/modsecurity/activated_rules/modsecurity_crs_50_outbound.conf"] [line "53"] [id "970901"] [rev "2"] [msg "The application is not available"] [data "Matched Data: 503 found within RESPONSE_STATUS: 503"] [severity "ERROR"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "WASCTC/WASC-13"] [tag "OWASP_TOP_10/A6"] [tag "PCI/6.5.6"] 
Message: Warning. Pattern match "^(?i:0|allow)$" at RESPONSE_HEADERS. [file "/etc/modsecurity/activated_rules/modsecurity_crs_55_application_defects.conf"] [line "151"] [id "981405"] [msg "AppDefect: X-FRAME-OPTIONS Response Header is Missing or not set to Deny."] [data "X-FRAME-OPTIONS: "] [tag "WASCTC/WASC-15"] [tag "MISCONFIGURATION"] [tag "http://websecuritytool.codeplex.com/wikipage?title=Checks#http-header-x-frame-options"] 
Message: Warning. Operator GE matched 4 at TX:outbound_anomaly_score. [file "/etc/modsecurity/activated_rules/modsecurity_crs_60_correlation.conf"] [line "40"] [id "981205"] [msg "Outbound Anomaly Score Exceeded (score 4): The application is not available"] 
[...] 

--173fad2e-Z-- 

這是一個審計日誌條目的例子，我想配置它，所以它只能說明在每個日誌項的日誌拖車「消息」，而不是（在本例中）3

是否可以配置？

Answer 1

不知道你爲什麼想要這樣做？

它顯示三個的原因是因爲這個請求觸發了三條不同的規則。

通常ModSecurity會阻止第一個失敗的規則，所以你不會看到這個。事實的確將不阻止的要求（並因此阻止規則發射的其餘部分）提出的兩件事情之一：

1. 無論您是在DetectionOnly模式下運行。在這種模式下，查看所有規則特別有用，否則您只修改一條規則來發現另一條規則等等。

2. 您正在運行異常檢測模式，該模式運行所有規則，合計錯誤，然後阻止錯誤數量是否大於設定限制。這允許一個或多個次要規則（否則可能有很多誤報並因此阻止合法的業務量）在異常分數的總和低於限制時通過。再次在此模式下，您需要查看所有失敗的規則。

因此，對我來說，ModSecurity正在做它應該在這裏，不知道爲什麼你認爲它應該只顯示一條規則？