mod_securityで構成されたApacheサーバーがあります。これらのログはさらに分析され、侵入検知と監視のためにOSSECサーバーに送信されます。
その後、OSSEC サーバーは、正規化と高度な相関のためにこれらのログを SIEM に送信します。 SIEMのパーサーはいくつかの静かなmod_secメッセージを解析できますが、ペイロードには特定の種類のメッセージが含まれています。
"rx^%{tx.allowed_request_content_type}$"
SIEMシステムでは解析ができないようですが、SIEM側で解析コードを変更すること(クローズドソースとはいえないようですが)の代わりに解析を変更する方法があるかどうか疑問に思います。 Apacheカスタムログ機能と同様に、ログ出力。完全なログペイロードは次のとおりです。
9月13日 13:35:37 ossec-server ossec: 警告レベル: 7;ルール:50118 - Mod Securityによってアクセス試行がブロックされました。場所:(Webサーバー)127.0.0.1->/usr/local/apache2/logs/error_log; [Fri Sep 13 13:37:09.190450 2013] [:error] [pid 2584:tid 140049089795840] [client 127.0.0.1] ModSecurity: アクセスが拒否されました。コード403(ステップ1)。 'rx ^%{tx.allowed_request_content_type}$' を 'TX:0' と一致させる必要があります。 [file "/usr/local/apache2/conf/modsecurity-crs/activated_rules/modsecurity_crs_30_http_policy.conf"] [line "64"] [id "960010"] [rev "2"] [msg "リクエスト内容の種類同じです。ポリシーに準拠しています。] /POLICY /ENCODING_NOT_ALLOWED" "] [ラベル "WASCTC/WASC-20"] [ラベル "OWASP_TOP_10/A1"] [ラベル "OWASP_AppSensor/EE2"] [ラベル "PCI/12.1"] [ホスト名 "abc.com"] [uri"/"][unique_id"UjLOtQoKUakAAAoYEh8AAAAO"]
ログに書き込むときにApacheが上記の強調表示されたテキストを記録しないように指定できますか?