2

我试图让 mod security 2.7.4 仅在找到关键规则匹配时审核日志。

我正在使用异常评分,因此如果匹配了事件 1 警告,请不要记录该事件,因为它是允许的。如果匹配 2 个警告从而使分数变高,则会触发 inbound_anomaly_score 规则,该规则反过来会拒绝请求。我希望它记录此事件,并带有导致触发的警告。

只需要它在第 1 阶段和第 2 阶段执行此操作。

当前使用 SecDefaultAction 的默认值。这些是审核日志的当前设置。SecAuditLogRelevantStatus 仍记录 200 的响应代码。

SecAuditEngine RelevantOnly
SecAuditLogRelevantStatus "^(?:5|4\d[^4])"
SecAuditLogType Serial

任何帮助将不胜感激。

4

0 回答 0