描述:配置审计日志记录引擎


语法:SecAuditEngine On|Off|RelevantOnly


默认:Off


使用范围:所有配置文件中均可使用


版本:2.0.0


该指令用于配置审计日志引擎,它能记录完整的网站访问。 ModSecurity目前能够记录大部分日志,但不是全部日志。 涉及一些错误HTTP访问(例如,400和404)使用不同的执行路径,而ModSecurity不支持该路径。

参数的作用分别是,On开启并记录所有事务,Off关闭,RelevantOnly可配置相关的HTTP状态码来记录指定的日志(需与SecAuditLogRelevantStatus联合使用),如:

SecAuditEngine RelevantOnly

SecAuditLog logs/audit/audit.log

SecAuditLogParts ABCFHZ

SecAuditLogType concurrent

SecAuditLogStorageDir logs/audit

SecAuditLogRelevantStatus ^(?:5|4(?!04))

该配置片段指的是只记录所有5xx和4xx状态码下的访问日志,但不包含404的日志,如访问网站出现503,403状态码,则日志将被记录,访问出现404,将不被记录


个人补充:

个人认为日志审计是ModSecurity的一大亮点,因为IIS服务器以及Apache服务器的日志是无法记录POST请求中的数据,而很多黑客入侵网站时提交数据均为POST提交,这就对黑客入侵方式的排查增加了难度,而使用ModSecurity的日志审计功能便可以记录POST请求的数据,便于进行排查以及入侵感知。


具体使用方式可参见:ModSecurity开启日志审计ModSecurity日志保存至MySQL数据库



Created with the Personal Edition of HelpNDoc: Easy EPub and documentation editor