Nginx

Mod_security 日誌記錄

  • August 29, 2012

我試圖將 mod_security 作為獨立服務執行,使用 nginx 作為反向代理,除日誌記錄外,一切正常。Mod_security 記錄反向代理 IP 地址而不是客戶端 IP 地址。

如果有人可以提供幫助,我將不勝感激。

以下是一個日誌文件範例,其中 mod_security 記錄的是 127.0.0.1 而不是客戶端 IP 地址。

2012/08/29 14:18:13

$$ info $$206862#0:$$ client 127.0.0.1 $$ModSecurity:使用程式碼 403(第 2 階段)拒絕訪問。模式匹配…

@kbulgrien:不是真的,因為 NGINX 正在正確擷取自己的日誌。

我不得不解決這個問題。我創建了一個 RequestDeny 塊,我在其中轉發了被 mod_security 拒絕的 403 請求。在這個塊中,我按照我想要的方式格式化了日誌,這樣我很容易擷取被拒絕請求的 IP 地址。

我知道讓 mod_security 正確寫入日誌會更好,但是當您不知道更好的方法時,它可能會有所幫助,所以它對我有用 :)

至少對於 Apache,重定向/重寫到由同一伺服器提供服務的虛擬主機可能會出現問題,以便日誌報告來自本地主機的外部請求。在這種情況下,也許有類似的事情正在發生。在觀察到這種不良日誌記錄行為的情況下,可能會更改伺服器配置以糾正該問題。它涉及伺服器配置的一些重組。可能這與 httpd.conf 中定義的站點有關,該站點隨後被移至 vhost .conf,但不幸的是,出現了這種情況並在沒有捕捉到更改的本質的情況下得到了解決。這或類似的事情會成為您的情況的一個因素嗎?

引用自:https://serverfault.com/questions/422529