SecAuditLog2
描述:定义同时日志启用下的第二审计日志索引文件路径
语法:SecAuditLog2 /path/to/auditlog2
示例:SecAuditLog2 /usr/local/apache/logs/audit2.log
阶段:N/A
范围:Any
版本:2.1.2
备注:在本指令使用之前必须通过SecAuditLog定义主审计日志,另外这个文件仅用于当同时审计日志使用时复制主审计索引文件,不能用于非同时审计日志的情况。
SecAuditLogParts
描述:定义每个事务中记录到审计日志中的部分。每部分以一个独立的字母表示,当某个字母出现在列表中,也就是指每个事务中的相同部分会被记录,全部列表见下文。
语法:SecAuditLogParts PARTS
示例:SecAuditLogParts ABCFHZ
阶段:N/A
范围:Any
版本:2.0.0
备注:在这个时候ModSecurity不记录apache的见用响应内容(如404),或者服务器和日期的响应头。
默认:ABCFHZ.
可用的审计日志部分:
A - 审计日志标题(强制的)
B - 请求标题
C - 请求体(目前仅针对请求体存在,并且ModSecurity已经配置成拦截)
D - 为中间人响应头保留,暂未实现
E - 中间人响应体(目前仅对配置了拦截响应体和配置审计日志引擎记录有效)。中间人响应体和实际的响应体相同,除非ModSecurity拦截了中间人响应体,这种情况下,实际响应体会包含出错信息(可能是apache的默认错误信息,也可能是出错文档页面)。
F - 最终响应头(除了日期和服务器标题以外的被apache添加的近期内容传递信息)。
G - 为实际响应体保留,暂未实现。
H - 审计日志索引
I - 这C部分的替换,使用multipart/form-data编码时,在所有的异常情形下会记录与C相同的数据,在这种情况下,会记录假的application/x-www-form-urlencoded内容,这包含参数的相关信息,但不是这个文件的。如果你不想用文件(通常很大)来存储你的审计日志,这是很方便的。
J - 保留。实现后,这部分会包含文件使用multipart/form-data编码上传的信息。
K - 这部分包含一个完整的列表,按顺序匹配(每行一个),这些规则是完全合格的,从而表明继承默认的动作和操作,从2.5.0开始支持。
Z - 最终分界,意味着是条目的最后(强制的)
SecAuditLogRelevantStatus
描述:配置哪些响应状态码与审计日志的目的密切相关
语法:SecAuditLogRelevantStatus REGEX
示例:SecAuditLogRelevantStatus ^(?:5|4\d[^4])
阶段:N/A
范围:Any
版本:2.0.0
备注:必须将SecAuditEngine设置为RelevantOnly,其参数是个正则表达式。
这个指令最主要的目的是允许你配置审计产生特殊HTTP响应状态码的唯一事务,这个指令通常用于减少审计日志文件的总体大小。记住一点,如果使用了这个参数,那么返回状态码是200的成功攻击事件不会记录。
SecAuditLogStorageDir
描述:配置同时审计日志条目存储时的路径
语法:SecAuditLogStorageDir /path/to/storage/dir
示例:SecAuditLogStorageDir /usr/local/apache/logs/audit
阶段:N/A
范围:Any
版本:2.0.0
备注:必须同时设置SecAuditLogType,启动apache前,需要先创建目录,而且必须让服务器用户运行时可以新建文件。
尽管有了记录日志的机制,还需要确保指定的本地文件系统上有足够的磁盘究竟,并且不是在根分区上。
SecAuditLogType
描述:配置使用审计日志记录机制的类型
语法:SecAuditLogType Serial|Concurrent
示例:SecAuditLogType Serial
阶段:N/A
范围:Any
版本:2.0.0
备注:如果使用Concurrent类型必须指定SecAuditLogStorageDir
可用的值:
Serial - 所有的审计日志条目都被存储在主审计日志记录文件中,随意使用是很方便,但是它很慢,因为任何时候只有一个文件被打开也只能写入一条审计日志条目。
Concurrent - 审计日志条目被存储于不同的文件中,每个事务一个,如果你要把审计日志数据发送到远程ModSecurity控制主机上就使用Concurrent日志模式。
阅读(1748) | 评论(0) | 转发(0) |
