理解ModSecurity: JSON审计日志-网站指南、提示知识

DreamHost在我们的基础设施中广泛使用ModSecurity，为客户服务器和应用程序提供多层web应用程序安全。作为一个强大、灵活的WAF (web应用防火墙)，ModSecurity允许我们的安全团队极大地提高我们的web服务的安全性，防范零日威胁，减轻DDoS攻击，并提供对我们整个服务器环境趋势的洞察。这是一个强大的工具，但有一个明显的弱点:它生成的日志可能难以阅读，无法解析，坦白地说，这是一场噩梦。

ModSecurity在拦截攻击时会提供审计日志，为服务器运营商提供有关恶意请求的取证信息。这些日志拼写出关于请求的各种详细信息——报头信息、请求有效负载、端口信息等等。以下是ModSecurity审计日志条目的示例:

ModSecurity审核日志的示例这些日志非常适合目测，但不适合以编程方式使用。这个问题在大规模工作时只会加剧——我们有数万台运行ModSecurity的机器，每天产生数百万行输出。在过去的几年中，出现了一些项目、工具和脚本，试图将ModSecurity日志转换为某种形式的有意义的数据，这些无疑是对社区的出色贡献，但在我们的规模下，试图强行加入一个解决方案来转换日志数据是一件费力不讨好的事情，也是对资源的浪费。我们需要一种以可用格式生成日志数据的方法。

云计算和梦想主机当您与我们合作时，您的网站会得到很好的管理！我们的服务将友好的专业知识与顶尖的技术相结合，为您提供在网络上取得成功所需的一切。

查看我们如何交付

鉴于修补ModSecurity以生成有用格式的数据(如JSON)是一项值得做的工作，我们在去年夏天花了一些时间来构建一种生成JSON审计日志的方法。幸运的是，ModSecurity是一个稳定、成熟的项目，我们能够测试我们的补丁并将其集成到各种环境中。现在，我们的WAF环境以一种合理的方式生成日志数据，使我们能够扩展我们的数据聚合和分析，而无需在将一堆非标准数据存入存储之前以37种不同的方式进行争论。

作为一个安全团队，我们认为我们的改变将有利于整个ModSecurity社区。幸运的是，DreamHost一直对开源项目爱之又爱。自由开放软件的使用是一个组织的核心理念。拥抱开源项目的美妙之处在于，作为一家公司，我们有机会与开源社区互动，而不仅仅是简单的实现。我们向SpiderLabs运行的上游ModSec urity项目提交了一个pull请求，最终，该补丁被提交，并将部署在ModSecurity的最新稳定版本(2.9.1)中。

我们认为这对DreamHost和开源社区来说都是一个巨大的胜利。我们在一个我们广泛使用的开源项目中看到了需求，满足了需求，并将我们的工作回馈给了社区。这样做也让我们能够继续与上游的ModSecurity开发团队密切合作，为未来的设计提供反馈，寻找bug，并在开源社区发表意见。我们对这个和其他开放安全项目为我们的团队和客户带来的未来机遇感到兴奋。