1. 首頁
  2. 問答
  3. 保持mod_security消息不在Apache的error_log中,讓它使用單獨的文件

保持mod_security消息不在Apache的error_log中,讓它使用單獨的文件

2013-10-16 18 views
1

建立了一個新的服務器後,我現在正在運行mod_security的v2。我能夠將我的所有規則轉換爲新的格式,而且一切似乎都運行良好。只是我沒有管理的一件事是使用自己的日誌進行mod_security(而不是記錄到Apache的error_log)。隨着V1.9我至少能夠複製的消息,定義與保持mod_security消息不在Apache的error_log中,讓它使用單獨的文件

CustomLog /path/to/modsec_log "%h %l %u %t \"%r\" %>s %b %{mod_security-message}i" env=mod_security-relevant

但甚至沒有工作了一個額外的日誌文件。我找不到任何瀏覽標籤的問題,阿姨谷歌也沒有提出任何有用的提示。有什麼我可能錯過了?

來源

2013-10-16 Izzy

回答

2

你的意思是審計和調試日誌?我已經將它們設置在modsec2.conf這樣

SecAuditLog logs/modsec_audit.log 
SecDebugLog logs/modsec_debug_log

來源

2013-10-28 08:35:11 bberg

+0

感謝您的回答,伯伯 - 但沒有。這些是單獨的日誌,我至少從一開始就使用SecAuditLog。至於SecDebugLog,mod_security的文檔保留:* 1-3級別的消息總是被複制到Apache錯誤日誌*(參見SecDebugLogLevel)。這些記錄是我想要到一個單獨的文件。但你是正確的,迄今爲止,使用SecDebugLog我可以*重複*這些記錄,正如我的問題所描述的v1.9;) – Izzy

0

設置日誌路徑中modsecurity.conf文件,如下所示:

SecAuditLog /root/...path../logs/modsec_audit.log (Relative Path)

來源

2014-04-30 12:03:43

+0

什麼應該解決[bberg的答案](http://stackoverflow.com/a/ 19630180/2533433)沒有?這不是對此的評論,爲日誌建議「絕對路徑」?它絕不會阻止將日誌條目複製到Apache的錯誤日誌中,因此不會回答問題(請參閱我的評論)。 – Izzy

+0

這就是我們使用的東西,它沒有被複制到Apache日誌中,並且沒有它與bberg的答案不一樣,反映了相對路徑,您必須定義absoulute路徑 –

+0

我的配置從一開始就有絕對路徑(如問題所示)。 error_log中仍有多個條目。正如我在對另一個問題的評論中指出的那樣,即使是文檔也會說* 1-3層的消息總是**複製到Apache錯誤日誌*,所以顯然沒有什麼可以幫助它。我同時甚至已經習慣了,所以對我來說這不再是一個公開的問題。不過,感謝指針。 – Izzy

1

modsecurity_crs_10_setup.conf文件(在/usr/share/modsecurity-crs下我的配置),您可以禁用日誌在Apache error.log

# -- [[ Alert Logging Control ]] -- 
# You have three options - 
# 
# - To log to both the Apache error_log and ModSecurity audit_log file use: "log" 
# - To log *only* to the ModSecurity audit_log file use: "nolog,auditlog" 
# - To log *only* to the Apache error_log file use: "log,noauditlog"

只要改變SecDefaultAction

SecDefaultAction "phase:1,deny,nolog,auditlog"

來源

2015-12-15 15:38:11 arpesenti

+0

感謝(和+1) - 這有助於保持輸入不在Apache的錯誤日誌中,這是作業的一半。不幸的是,它不能解決另一半(將這些條目移動到單獨的日誌中)。雖然不那麼迫切 - 但在過去的兩年裏,我習慣了把它們放在原地;) – Izzy

相關問題

 相關問題