问SecAuditLogParts不工作: mod_security保持日志记录响应体

EN

我想这是你的规矩。例如，OWASP有很多这样的功能，可以显式地将主体记录到使用SecAuditLogParts定义的任何内容：

ctl:auditLogParts=+E

您可以通过以下操作完全关闭body响应，然后这将不会被记录在那里：

SecResponseBodyAccess Off

一方面，建议这样做有几个原因：

1. 性能。扫描响应体需要时间，当大多数主体都是静态HTML时，这就没有多大意义了。
2. ModSecurity和GZIP的响应存在问题(不过根据最近在ModSecurity用户邮件组上的一个帖子，这方面可能有一些进展。这是在这里跟踪：https://github.com/SpiderLabs/ModSecurity/issues/944)
3. 如您所发现的那样，填充日志文件。
4. 可能会导致很多错误的警报。

但是，另一方面，扫描出站主体对于识别信息泄漏(源代码泄漏和/或数据库访问漏洞)非常有用，而关闭这些漏洞显然可以阻止这种情况。

最佳实践是在默认情况下对静态文件关闭SecResponseBodyAccess，但对应用程序生成的动态文件启用它，并降低规则以减少对这些文件的错误警报。

我还假定您有以下设置，以便在规则阻塞时只登录审核日志？

SecAuditEngine RelevantOnly