トップ «前の日記(2007-08-18) 最新 次の日記(2007-09-07)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2007-08-30

_ [detect][webappsec]mod_security でログを取る

以前 Ver.1で設定していたんだけど、Ver.2になって変わっているようなので、Ver 2.1で再設定。

インストールは mod_unique_id を有効にした以外特別なことはしてないので、省略。デフォルトで入っているルールは、目的と違うので使っていない。

SecRuleEngine DetectionOnly
SecRequestBodyAccess on
SecDefaultAction "phase:1,pass"
SecAuditEngine on
SecAuditLogType Serial
SecAuditLog logs/modsec_audit.log

出てくるログはこんな感じ↓

--9672d75e-A--
[30/Aug/2007:16:10:07 +0900] ZXDGgX8AAAEAAC2lE1gAAAAA 127.0.0.1 48155 127.0.0.1 80
--9672d75e-B--
GET / HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ja; rv:1.8.1.6) Gecko/20070822 Firefox/2.0.0.6
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: ja,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: Shift_JIS,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
 
--9672d75e-F--
HTTP/1.1 200 OK
Content-Location: index.html.ja.iso2022-jp
Vary: negotiate,accept-language,accept-charset
TCN: choice
Last-Modified: Thu, 21 Dec 2006 18:47:36 GMT
ETag: "74032-65e-c3cd4200;74040-961-c3cd4200"
Accept-Ranges: bytes
Content-Length: 1630
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-2022-jp
Content-Language: ja
 
--9672d75e-H--
Stopwatch: 1188457807398529 2346 (516 525 -)
Producer: ModSecurity v2.1.1 (Apache 2.x)
Server: Apache
 
--9672d75e-Z--

リクエストする度に、こんなのが延々と1つのファイルに出力される。ログ見るとき前後を合わせてみたいのでこの形式が好きなんだけど、遅いとのこと。1リクエスト/レスポンスを1ファイルにする場合は、ログのところを以下のようにすればよい。

SecAuditLogType Concurrent
SecAuditLogStorageDir /path/to/storage/dir
お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析