![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
SecRuleEngine On ※有効 SecRuleEngine Off ※無効 SecRuleEngine DetectionOnly ※有効(ログの記録のみ)
SecDataDir /var/log/httpd/mod_security
SecRequestBodyAccess On ※有効 SecRequestBodyAccess Off ※無効
SecResponseBodyAccess On ※有効 SecResponseBodyAccess Off ※無効
SecDefaultAction [phase:X] [action1,action2,...] ※構文 SecDefaultAction "phase:2,log,auditlog,deny,status:403" ※例:リクエストボディのフェーズで処理停止、Apacheのエラーログに記録、ModSecurityの監査ログに記録、ステータス403を返す
| Phase | 設定の記述 | 説明 | 備考 |
| 1 | phase:1 | リクエストヘッダー受信時 | リクエストのリクエストライン・ヘッダーを検査 |
| 2 | phase:2 | リクエストボディ解析後 | リクエストのパラメータ・フォームデータを検査 |
| 3 | phase:3 | レスポンスヘッダー送信前 | レスポンスのヘッダーを検査 |
| 4 | phase:4 | レスポンスボディ送信前 | レスポンスのヘッダーを検査 |
| 5 | phase:5 | ロギングフェーズ |
| Action | 説明 |
| allow | マッチしたルール以降の処理をスキップして許可 |
| pass | 検知はするがブロックしない |
| deny | 条件にマッチしたらアクセスを拒否(HTTP 403ステータスを返す等) |
| log | Apacheのエラーログに記録する |
| nolog | Apacheのエラーログに記録しない |
| auditlog | ModSecurityの監査ログに記録する |
| status:403 | 拒否時のHTTPステータスを指定する |
| t:none | トランスフォーメーション(入力変換)を無効化 |
SecAuditEngine On ※全リクエストを出力 SecAuditEngine Off ※出力しない SecAuditEngine RelevantOnly ※重要なリクエストのみ記録(ルールにマッチしたリクエストやエラー発生時など)
SecAuditLog /var/log/httpd/modsec_audit.log
SecAuditLogParts ABCFHZ
| Part | 説明 |
| A | 監査ログヘッダー(必須) |
| B | リクエストヘッダー |
| C | リクエストボディ(SecRequestBodyAccessの有効化が必要) |
| D | レスポンスヘッダー(予約済みで未実装) |
| E | レスポンスボディ(SecResponseBodyAccessの有効化が必要)。インターセプトした場合、実際のレスポンス本文にはエラーメッセージが含まれる。 |
| F | レスポンスヘッダー(DateヘッダーとServerヘッダーを除く) |
| G | レスポンスボディ(予約済みで未実装) |
| H | 監査ログトレーラー |
| I | "C"の代替部分 |
| J | multipart/form-data エンコーディングでアップロードされたファイルに関する情報 |
| K | 一致した全ルールの完全なリスト(1行に1ルール) |
| Z | 最終境界。エントリの終了を示す(必須) |
SecAuditLog /var/log/httpd/modsec_debug.log
SecDebugLogLevel <レベル>
| Level | 説明 |
| 0 | 出力なし |
| 1 | 重大なエラーのみ出力 |
| 2 | エラー・警告を出力 |
| 3 | 主要な処理の情報を出力 |
| 4〜5 | 詳細なリクエスト情報、ルール判定情報を出力 |
| 6〜9 | 非常に詳細(内部変数、PCREマッチ詳細など) |
