mod_security로 구성된 Apache 서버가 있습니다. 이러한 로그는 추가로 분석되어 침입 탐지 및 모니터링을 위해 OSSEC 서버로 전송됩니다.
그런 다음 OSSEC 서버는 정규화 및 고급 상관 관계를 위해 이러한 로그를 SIEM으로 보냅니다. SIEM의 파서는 일부 조용한 mod_sec 메시지를 구문 분석할 수 있지만 페이로드에 특정 유형의 메시지가 포함되어 있습니다.
"rx^%{tx.allowed_request_content_type}$"
SIEM 시스템에서는 파싱을 할 수 없는 것 같은데, SIEM 측에서 파싱 코드를 바꾸는 것(클로즈드 소스라 불가능해 보이는데) 대신에 파싱을 바꿀 수 있는 방법이 있는지 궁금합니다. Apache 사용자 정의 로그 기능과 마찬가지로 로그 출력. 전체 로그 페이로드는 다음과 같습니다.
9월 13일 13:35:37 ossec-server ossec: 경고 수준: 7; 규칙: 50118 - Mod Security에 의해 액세스 시도가 차단되었습니다. 위치: (웹 서버) 127.0.0.1->/usr/local/apache2/logs/error_log; [Fri Sep 13 13:37:09.190450 2013] [:error] [pid 2584:tid 140049089795840] [client 127.0.0.1] ModSecurity: 액세스가 거부되었습니다. 코드 403(1단계). 'rx ^%{tx.allowed_request_content_type}$'를 'TX:0'과 일치시켜야 합니다. [file "/usr/local/apache2/conf/modsecurity-crs/activated_rules/modsecurity_crs_30_http_policy.conf"] [line "64"] [id "960010"] [rev "2"] [msg "요청 콘텐츠 유형이 다음과 같습니다. 정책에 따라 허용됨"] [데이터 "application/octet-stream"] [심각도 "CRITICAL"] [ver "OWASP_CRS/2.2.8"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/ POLICY /ENCODING_NOT_ALLOWED" "] [레이블 "WASCTC/WASC-20"] [레이블 "OWASP_TOP_10/A1"] [레이블 "OWASP_AppSensor/EE2"] [레이블 "PCI/12.1"] [호스트 이름 "abc.com"] [ uri " /"] [unique_id "UjLOtQoKUakAAAoYEh8AAAAO"]
로그에 쓸 때 Apache가 위에 강조 표시된 텍스트를 기록하지 않도록 지정할 수 있습니까?