![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
SecRuleEngine On ※有効 SecRuleEngine Off ※無効 SecRuleEngine DetectionOnly ※有効(ログの記録のみ)
SecDataDir /var/log/httpd/mod_security
SecRequestBodyAccess On SecRequestBodyAccess Off
SecResponseBodyAccess On SecResponseBodyAccess Off
SecDefaultAction [phase:X] [action1,action2,...] ※構文 SecDefaultAction "phase:2,log,auditlog,deny,status:403" ※例:リクエストボディのフェーズで処理停止、Apacheのエラーログに記録、ModSecurityの監査ログに記録、ステータス403を返す
| Phase | 設定の記述 | 説明 | 備考 |
| 1 | phase:1 | リクエストヘッダー受信時 | リクエストのリクエスト先・メソッド・ヘッダーを検査 |
| 2 | phase:2 | リクエストボディ解析後 | POSTデータ・フォーム入力を検査 |
| 3 | phase:3 | レスポンスヘッダー送信前 | レスポンスのヘッダーを検査 |
| 4 | phase:4 | レスポンスボディ送信前 | レスポンスのヘッダーを検査 |
| 5 | phase:5 | ロギングフェーズ |
| Action | 説明 |
| allow | マッチしたルール以降の処理をスキップして許可 |
| pass | 検知はするがブロックしない |
| deny | 条件にマッチしたらアクセスを拒否(HTTP 403ステータスを返す等) |
| log | Apacheのエラーログに記録する |
| nolog | Apacheのエラーログに記録しない |
| auditlog | ModSecurityの監査ログに記録する |
| status:403 | 拒否時のHTTPステータスを指定する |
| t:none | トランスフォーメーション(入力変換)を無効化 |
SecAuditEngine RelevantOnly
SecAuditLog /var/log/httpd/modsec_audit.log
SecAuditLogParts ABCFHZ
| Part | 説明 |
| A | 監査ログヘッダー(必須) |
| B | リクエストヘッダー |
| C | リクエストボディ(SecRequestBodyAccessの有効化が必要) |
| D | 中継レスポンスヘッダー用(予約済みで未実装) |
| E | 中間レスポンス本文(SecResponseBodyAccessの有効化が必要)。インターセプトした場合、実際のレスポンス本文にはエラーメッセージが含まれる。 |
| F | 最終レスポンスヘッダー(DateヘッダーとServerヘッダーを除く) |
| G | 実際のレスポンスボディ用(予約済みで未実装) |
| H | 監査ログトレーラー |
| I | "C"の代替部分 |
| J | multipart/form-data エンコーディングでアップロードされたファイルに関する情報 |
| K | 一致した全ルールの完全なリスト(1行に1ルール) |
| Z | 最終境界。エントリの終了を示す(必須) |
SecAuditLog /var/log/httpd/modsec_debug.log
