题 SecAuditLogParts不工作:mod_security保持记录响应正文


我已经在modsecurity.conf中设置了SecAuditLogParts来记录ABFH,但是modsecurity审计日志会记录-E-部分(响应主体),这会使审计日志过大。

我该怎么做才能禁用响应体记录?


5
2017-12-13 19:04






答案:


我想这是在你的规则中设定的。例如,OWASP CRS在其中很多都使用SecAuditLogParts将身体显式记录到您定义的任何内容:

ctl:auditLogParts=+E

您可以使用以下内容完全关闭身体响应,然后不会在此处记录:

SecResponseBodyAccess Off

一方面,建议这是出于以下几个原因:

  1. 性能。扫描响应主体需要时间,当大多数主体是静态HTML时,这没有多大意义。
  2. ModSecurity和GZIP响应存在问题(尽管根据最近的一个帖子,显然可能会有一些进展 ModSecurity用户邮件组。这是在这里跟踪: https://github.com/SpiderLabs/ModSecurity/issues/944
  3. 如您所发现的那样填写日志文件。
  4. 可能导致很多虚假警报。

另一方面,扫描出站主体可以用于识别信息泄漏(源代码泄漏和/或数据库访问泄露),并且关闭它显然会停止这种情况。

最佳做法是默认情况下关闭静态文件的SecResponseBodyAccess,然后为应用程序生成的动态文件启用它,并减少规则以减少对这些文件的错误警报。

我还假设你有以下设置只在规则阻止时登录审核日志?

SecAuditEngine RelevantOnly

3
2017-10-20 13:43