我有一个使用 mod_security 配置的 apache 服务器。这些日志被进一步分析并发送到 OSSEC 服务器进行入侵检测和监控。
然后,OSSEC 服务器将这些日志发送到 SIEM 进行规范化和高级关联,SIEM 的解析器能够解析一些安静的 mod_sec 消息,但包含在有效负载中的一种特定类型消息
“rx^%{tx.allowed_request_content_type}$”
似乎无法在 SIEM 系统中进行解析,而不是在 SIEM 端更改解析代码(这似乎不可能,因为它是封闭源代码),我想知道是否有方法可以更改日志输出,就像 apache 自定义日志功能一样。完整的日志有效负载如下所示:-
9 月 13 日 13:35:37 ossec-server ossec:警报级别:7;规则:50118 - 访问尝试被 Mod Security 阻止。位置:(Web服务器)127.0.0.1->/usr/local/apache2/logs/error_log; [Fri Sep 13 13:37:09.190450 2013] [:error] [pid 2584:tid 140049089795840] [client 127.0.0.1] ModSecurity:访问被拒绝,代码 403(阶段 1)。需要将“rx ^%{tx.allowed_request_content_type}$”与“TX:0”匹配。 [文件“/usr/local/apache2/conf/modsecurity-crs/activated_rules/modsecurity_crs_30_http_policy.conf”] [行“64”] [id“960010”] [rev“2”] [msg“不允许请求内容类型”按策略”] [数据“application/octet-stream”] [严重性“CRITICAL”] [ver“OWASP_CRS/2.2.8”] [成熟度“9”] [准确性“9”] [标签“OWASP_CRS/POLICY/ENCODING_NOT_ALLOWED” "] [标签“WASCTC/WASC-20”] [标签“OWASP_TOP_10/A1”] [标签“OWASP_AppSensor/EE2”] [标签“PCI/12.1”] [主机名“abc.com”] [uri“/”] [unique_id“UjLOtQoKUakAAAoYEh8AAAAO”]
我可以指定apache在写入日志时不记录上面突出显示的文本吗?