ModSecurityですべてのログエントリに表示されるルールの量を制限する方法はありますか?それだけで(この例では)の代わりに、ログエントリごとにログトレーラーで「メッセージ」を示してModSecurity監査ログのルールの制限
監査ログエントリの例です--173fad2e-A--
[27/Apr/2016:17:15:25 +0530] VyCmVMCoAwUAAAohwTgAAAAA 127.0.0.1 33330 127.0.0.1 80
[...]
--173fad2e-H--
Message: Warning. Pattern match "^5\\d{2}$" at RESPONSE_STATUS. [file "/etc/modsecurity/activated_rules/modsecurity_crs_50_outbound.conf"] [line "53"] [id "970901"] [rev "2"] [msg "The application is not available"] [data "Matched Data: 503 found within RESPONSE_STATUS: 503"] [severity "ERROR"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "WASCTC/WASC-13"] [tag "OWASP_TOP_10/A6"] [tag "PCI/6.5.6"]
Message: Warning. Pattern match "^(?i:0|allow)$" at RESPONSE_HEADERS. [file "/etc/modsecurity/activated_rules/modsecurity_crs_55_application_defects.conf"] [line "151"] [id "981405"] [msg "AppDefect: X-FRAME-OPTIONS Response Header is Missing or not set to Deny."] [data "X-FRAME-OPTIONS: "] [tag "WASCTC/WASC-15"] [tag "MISCONFIGURATION"] [tag "http://websecuritytool.codeplex.com/wikipage?title=Checks#http-header-x-frame-options"]
Message: Warning. Operator GE matched 4 at TX:outbound_anomaly_score. [file "/etc/modsecurity/activated_rules/modsecurity_crs_60_correlation.conf"] [line "40"] [id "981205"] [msg "Outbound Anomaly Score Exceeded (score 4): The application is not available"]
[...]
--173fad2e-Z--
、私は3
それを設定したいと思いますこれを設定することは可能ですか?
これは何をすべきかについてではなく、もっと私がしたいことです。より具体的には、ログエントリを解析しています。この時点で、すべてのルール(H)とヘッダー(A)を同じログで同時に検出することはかなり不可能です。 これは、ルールごとにログエントリを表示するように設定できれば、それは私がいくつかの正規表現にマッチさせ、脅威(この例では3つ)のそれぞれを分類する理想的な動作になります。 – user2336267
どのようにして脅威を分類することができますか? AFAIKはあなたが望むことができません>あなたが望むことはできませんが、gitでリクエストを起こすことは自由ですが(あるいはコードの変更を行うことをお勧めします)、個人的には他の人から多くの呼び出しがあることは分かりません。正直なところ、監査ログは解析には適していません。失敗したルールがルールごとに1行にある場合は、エラーログを使用するほうがずっと優れています。フェーズ5の開始時にカスタムルールを作成して、必要に応じてエラーメッセージと同様にこの行に表示するヘッダーを表示することもできます。 –