我已将 modsecurity.conf 中的 SecAuditLogParts 设置为仅记录 ABFH,但 modsecurity 审计日志仍继续记录 -E- 部分(响应正文),这导致审计日志过大。
我该怎么做才能禁用响应主体日志记录?
答案1
我想这是在你的规则中设置的。例如,OWASP CRS 中的很多规则都包含这个功能,可以使用 SecAuditLogParts 将正文明确记录到你定义的任何内容中:
ctl:auditLogParts=+E
您可以使用以下命令完全关闭正文响应,这样就不会记录该内容:
SecResponseBodyAccess Off
一方面,出于以下几个原因,我们值得推荐:
- 性能。扫描响应主体需要时间,并且当大多数主体都是静态 HTML 时,这没有多大意义。
- ModSecurity 和 GZIP 响应存在问题(尽管根据最近的一个帖子,这个问题可能已经取得了一些进展ModSecurity 用户邮件组。此处正在跟踪:https://github.com/SpiderLabs/ModSecurity/issues/944)
- 正如您所发现的,填充日志文件。
- 可能会导致大量错误警报。
另一方面,扫描出站主体可以有助于识别信息泄露(源代码泄露和/或数据库访问漏洞),关闭此功能显然可以阻止这种情况。
最佳做法是默认关闭静态文件的 SecResponseBodyAccess,然后对应用程序生成的动态文件启用它,并减少规则以减少这些文件的错误警报。
我还假设您已将以下内容设置为仅在规则阻止时记录审计日志?
SecAuditEngine RelevantOnly