描述:用于配置在一次请求中,有哪些内容将被记录在审计日志中。每个部分分配一个字母,当一个字母出现在列表中时,等效部分将被记录下来。


语法:SecAuditLogParts PARTLETTERS


默认:ABCFHZ 备注


使用范围:所有配置文件中均可使用


版本:2.0.0


可用的日志审计配置如下:

A:审计日志头(必须配置)

B:请求头

C:请求体(仅在请求体存在并且ModSecurity配置为拦截它时才存在。 这需要将SecRequestBodyAccess设置为On)

D:该值是为中间响应头保留,尚未有任何实际作用

E:中间响应体(仅当ModSecurity配置为拦截响应体并且审计日志引擎配置为记录时才存在。 拦截响应体需要将SecResponseBodyAccess设置为On)。 除非ModSecurity拦截中间响应体,否则中间响应体与实际响应体相同,在这种情况下,实际响应体将包含错误消息(Apache默认错误消息或ErrorDocument页面))

F:最终响应头(不包括日期和服务器标题,Apache始终在内容交付的后期阶段添加)

G:该值是为实际响应体保留,尚未有任何实际作用

H:审计日志追踪内容;

I:该部分是C的替代品。除了使用multipart/form-data编码,否则它在所有情况下记录的数据与C相同。 在这种情况下,它将记录一个假应用程序/ x-www-form-urlencoded正文,其中包含有关参数的信息,但不包含有关文件的信息。 如果您不想在审核日志中存储(通常很大)的文件,使用I比使用C更方便。

J:该部分包含有关使用multipart/form-data编码上传的文件的信息。

K:该部分包含了本次访问中所匹配到的所有规则(按每行一个进行记录)。规则是完全合格的,因此将显示继承的操作和默认操作符。V2.5.0以上支持。

Z:结尾分界线,表示本次日志记录完毕(必须配置)


个人补充:如果要记录请求体,建议使用IJ来替代C,因为使用C,在进行文件上传时,上传文件的所有内容也将会被记录在审计日志中,如果你上传了一个10G的文件,那审计日志也会记录10G的内容。但目前存在一个情况,在ModSecurity v3版本中,只能使用C来记录请求体。

具体使用方式可参见:ModSecurity开启日志审计ModSecurity日志保存至MySQL数据库



Created with the Personal Edition of HelpNDoc: Easy EPub and documentation editor