Mod_security 日志记录

Mod_security 日志记录

我尝试将 mod_security 作为独立服务运行,并使用 nginx 作为反向代理,除日志记录外,一切正常。Mod_security 记录反向代理 ip 地址,而不是客户端 ip 地址。

如果有人能帮忙我将非常感激。

下面是日志文件的示例,其中 mod_security 记录的是 127.0.0.1 而不是客户端 ip 地址。

2012/08/29 14:18:13 [信息] 206862#0:[客户端 127.0.0.1] ModSecurity:访问被拒绝,代码为 403(阶段 2)。模式匹配...

答案1

至少对于 Apache 来说,重定向/重写到由同一服务器提供服务的虚拟主机时可能会出现问题,日志会报告来自本地主机的外部请求。也许在这种情况下发生了类似的事情。在观察到这种不良日志记录行为的情况下,服务器配置更改可能可以纠正该问题。它涉及对服务器配置进行一些重组。这可能与 httpd.conf 中定义的站点有关,该站点随后被移至 vhost .conf,但不幸的是,这种情况出现了,并且在没有抓住更改的本质的​​情况下得到了解决。这或类似的事情会成为您遇到的情况的一个因素吗?

答案2

@kbulgrien:不是的,因为 NGINX 正在正确捕获其自己的日志。

我必须解决这个问题。我创建了一个 RequestDeny 块,用于转发被 mod_security 拒绝的 403 请求。在这个块中,我按照自己想要的方式格式化日志,这样我就可以轻松捕获被拒绝请求的 IP 地址。

我知道让 mod_security 正确地写入日志会更好,但是当你不知道更好的方法时它可能会有所帮助,对我来说也是如此 :)

相关内容