我想知道是否可以更改 Modsecurity 3 在其审计日志中使用的时间格式。我发现时间格式因SecAuditLogFormat设置而异。当它是时Native,时区存在:
---immbqR4e---A--
[16/Jun/2020:11:24:03 +0300]
但是如果切换到JSON,就没有时区(时间是当地时间而不是 UTC):
"time_stamp":"Tue Jun 16 11:24:03 2020"
这对于日志聚合和处理来说相当不方便,尤其是当运行 Modsecurity 的服务器位于夏令时区域时。不幸的是,我找不到有关此问题的任何信息。我很感激任何建议。
答案1
您是否尝试过编辑 SecAuditLogParts
安全审计日志部分A血红蛋白H是
H 审计日志尾部
包含请求是否被允许或被拒绝的信息,以及相关的 HTTP 状态代码以及 Apache 错误日志中出现的 ModSecurity 消息。还包含时间戳和服务器字符串(因为它看起来没有使用 SecServerSignature 对其进行任何修改)。
A审计日志标头
表示审计日志条目开始的边界。
包含日志条目的时间和日期戳以及客户端和服务器 IP 地址。还包含日志条目的唯一 ID,这样可以轻松在 Apache 日志文件中找到请求。
该选项是必需的,如果您不指定它,将会隐式包含在内。