我已将 modsecurity.conf 中的 SecAuditLogParts 设置为仅记录 ABFH,但 modsecurity 审计日志不断记录 -E- 部分(响应正文),这使得审计日志过大。
我该怎么做才能禁用响应正文日志记录?
我想这是你们的规则中规定的。例如,OWASP CRS 在很多中都具有此功能,可以将正文显式记录到您使用 SecAuditLogParts 定义的任何内容:
ctl:auditLogParts=+E
您可以使用以下命令完全关闭身体反应,然后这将不会被记录在那里:
SecResponseBodyAccess Off
一方面,推荐这样做有以下几个原因:
另一方面,扫描出站主体可用于识别信息泄漏(源代码泄漏和/或数据库访问违规),并且将其关闭显然可以阻止这种情况。
最佳实践是默认对静态文件关闭 SecResponseBodyAccess,但随后对应用程序生成的动态文件启用它,并减少规则以减少这些文件的误报。
我还假设您将以下设置设置为仅在规则阻止时登录审核日志?
SecAuditEngine RelevantOnly
| 归档时间: |
|
| 查看次数: |
798 次 |
| 最近记录: |