Sys-Admin Forum

ModSecurity - детализация логов

На заметку о mod_security в CentOS:

  • Конфиг – /etc/httpd/conf.d/mod_security.conf
  • Отладочный лог – /var/log/httpd/modsec_debug.log
  • Лог аудита – /var/log/httpd/modsec_audit.log
  • Правила – /etc/httpd/modsecurity.d/activated_rules

Все параметры, в том числе включение / отключение логов производится в /etc/httpd/conf.d/mod_security.conf, параметры:

SecDebugLog /var/log/httpd/modsec_debug.log
SecAuditLog /var/log/httpd/modsec_audit.log

Файлы логов необходимо создавать “руками” используя любой удобный для себя метод, далее детализацию по отладке можно включить используя параметр SecDebugLogLevel:

0 - No logging
1 - Errors (e.g., fatal processing errors, blocked transactions)
2 - Warnings (e.g., non-blocking rule matches)
3 - Notices (e.g., non-fatal processing errors)
4 - Informational
5 - Detailed
9 - Everything!

По теме:
Установка ModSecurity для Apache
Подключение ModSecurity в Nginx
Исключения для mod_security

Добрый день!
Помогите пожалуйста решить проблему - любые события модуля не записываются в файл /var/log/httpd/modsec_audit.log.
Нужно чтобы все события(9) modsecurity. Записывались в файл modsec_audit.log.
У меня установлена система Centos 7. После установки модуля в файл /var/log/httpd/modsec_audit.log нет никаких записей файл пуст. А в файле /var/log/httpd/error_log добавляются события модуля:

[Mon Jun 24 12:05:35.181290 2019] [suexec:notice] [pid 3410] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Mon Jun 24 12:05:35.181344 2019] [:notice] [pid 3410] ModSecurity for Apache/2.9.2 (http://www.modsecurity.org/) configured.
[Mon Jun 24 12:05:35.181349 2019] [:notice] [pid 3410] ModSecurity: APR compiled version="1.4.8"; loaded version="1.4.8"
[Mon Jun 24 12:05:35.181352 2019] [:notice] [pid 3410] ModSecurity: PCRE compiled version="8.32 "; loaded version="8.32 2012-11-30"
[Mon Jun 24 12:05:35.181354 2019] [:notice] [pid 3410] ModSecurity: LUA compiled version="Lua 5.1"
[Mon Jun 24 12:05:35.181357 2019] [:notice] [pid 3410] ModSecurity: LIBXML compiled version="2.9.1"
[Mon Jun 24 12:05:35.181359 2019] [:notice] [pid 3410] ModSecurity: Status engine is currently disabled, enable it by set SecStatusEngine to On.

В конфиге модуля выставь дебаг режим

Спасибо за подсказку, но все равно файлы modsec_audit.log, modsec_debug.log пустые. Но появился файл .modsec_audit.log.swp
Содержит:

6230 5649 4d20 372e 3400 0000 0010 0000
af66 105d ac0b 0d0a 009f 0e00 0072 6f6f
7400 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 006b 6462 2d6c 6f63 2e6b 7a00
0000 0000 0000 0000 0000 0000 0000 0000

Выставил:

SecDebugLogLevel 9
SecAuditEngine On

Затем перезагрузил командой systemctl restart httpd.service