ModSecurity監査ログのルールの制限

Question

ModSecurityですべてのログエントリに表示されるルールの量を制限する方法はありますか？それだけで（この例では）の代わりに、ログエントリごとにログトレーラーで「メッセージ」を示して

監査ログエントリの例です

--173fad2e-A-- 
[27/Apr/2016:17:15:25 +0530] VyCmVMCoAwUAAAohwTgAAAAA 127.0.0.1 33330 127.0.0.1 80 

[...] 

--173fad2e-H-- 
Message: Warning. Pattern match "^5\\d{2}$" at RESPONSE_STATUS. [file "/etc/modsecurity/activated_rules/modsecurity_crs_50_outbound.conf"] [line "53"] [id "970901"] [rev "2"] [msg "The application is not available"] [data "Matched Data: 503 found within RESPONSE_STATUS: 503"] [severity "ERROR"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "WASCTC/WASC-13"] [tag "OWASP_TOP_10/A6"] [tag "PCI/6.5.6"] 
Message: Warning. Pattern match "^(?i:0|allow)$" at RESPONSE_HEADERS. [file "/etc/modsecurity/activated_rules/modsecurity_crs_55_application_defects.conf"] [line "151"] [id "981405"] [msg "AppDefect: X-FRAME-OPTIONS Response Header is Missing or not set to Deny."] [data "X-FRAME-OPTIONS: "] [tag "WASCTC/WASC-15"] [tag "MISCONFIGURATION"] [tag "http://websecuritytool.codeplex.com/wikipage?title=Checks#http-header-x-frame-options"] 
Message: Warning. Operator GE matched 4 at TX:outbound_anomaly_score. [file "/etc/modsecurity/activated_rules/modsecurity_crs_60_correlation.conf"] [line "40"] [id "981205"] [msg "Outbound Anomaly Score Exceeded (score 4): The application is not available"] 
[...] 

--173fad2e-Z-- 

、私は3

それを設定したいと思います

これを設定することは可能ですか？

Answer 1

なぜこのようにしたいのですか？

この3つの理由は、このリクエストによって3つの異なるルールがトリガされたためです。

最初に失敗したルールのためにModSecurityがブロックされることがありますので、これは表示されません。

1. どちらかあなたがDetectionOnlyモードで実行されている：インクルードは（したがって、ルール発火の残りを防ぐ）ないブロック要求をした事実は、2つのうちのいずれかを示唆しています。このモードでは、すべてのルールを確認すると特に効果的です。

2. すべてのルールを実行し、エラーを合計し、エラーの数が設定された制限より大きい場合はブロックします。これにより、異常スコアの合計が制限を下回る場合、1つまたは複数のマイナールール（そうしないと誤検出が多く、正当なトラフィックをブロックする可能性があります）が発生します。このモードでも、失敗したすべてのルールを表示する必要があります。あなたはそれが唯一のルールを示すべきだと思う理由

だから、私には、ModSecurityはここではしていないことを確認、まさにそれがなければならないしているのですか？