描述:定义主审计日志文件(串行日志记录格式)或并发日志记录索引文件(并发日志记录格式)的路径。 当与mlogc结合使用时(仅适用于并发日志记录),该指令定义mlogc位置和命令行。


语法:SecAuditLog /path/to/audit.log


使用范围:所有配置文件中均可使用


版本:2.0.0


如果使用串行审计日志记录格式,指定的文件将存储所有的日志。 如果使用并发审计日志记录格式,则该文件将只存储日志索引,完整的日志将记录在SecAuditLogStorageDir所指定的文件夹。 如果您打算使用并发审计日志记录并想将审计日志数据发送到远程服务器,则需要部署ModSecurity日志收集器(mlogc),如下所示:

SecAuditLog "|/path/to/mlogc /path/to/mlogc.conf"

注意:当服务器通常仍以root身份运行时,将在启动时打开审计日志功能。 您不应该允许非root用户拥有该文件或目录的写入权限。


个人补充:

SecAuditLogType指定用于配置使用串行还是并发方式记录审计日志,建议使用并发日志记录,因为将所有日志记录只记录在同一个文件中,随着时间推移文件将越来越大,此外,在Apache上使用串行方式记录审计日志时,虽然能够记录成功,但每条日志都有包含一条警告信息,网站访问却不受丝毫影响,但使用并发日志记录时却不会出现错误信息,个人推测有可能是并发过高,而串行方式日志都是记录在一个文件中,在高并发下可能会导致文件被锁,因此才出现的警告。


具体使用方式可参见:ModSecurity开启日志审计ModSecurity日志保存至MySQL数据库



Created with the Personal Edition of HelpNDoc: Easy EPub and documentation editor