auditlog
说明:在统计日志里标记交互日志。
动作组:非中断性
例如:
SecRule REMOTE_ADDR "^192\.168\.1\.100$" auditlog,phase:1,allow
注意
统计日志现在是明确的如果日志也指定。
block
说明:执行默认的中断动作。
动作组:中断性
它旨在通过规则集来表明这个规则目的是阻止并且根据管理员设定”如何”处理。这个动作目前只是一个预留位置,它将取代同一内容里的SecDefaultAction。用block动作和SecRuleUpdateActionById指令一起使用允许一个规则被还原回以前的SecDefaultAction中断动作。
在以后ModSecurity版本里,更多的控制和功能将被添加以决定怎样阻止。
例如:
在下面这个例子中,第二个规则将”拒绝”因为SecDefaultAction中断动作,管理员可以很容易地改变这个到另一个中断动作而不用编辑真实的规则。
### Administrator defines "how" to block (deny,status:403)...
SecDefaultAction phase:2,deny,status:403,log,auditlog
### Included from a rulest...
# Intent is to warn for this User Agent
SecRule REQUEST_HEADERS:User-Agent "perl" "phase:2,pass,msg:'Perl based user agent identified'"
# Intent is to block for this User Agent, "how" described in SecDefaultAction
SecRule REQUEST_HEADERS:User-Agent "nikto" "phase:2,block,msg:'Nikto Scanners Identified'"
下面这个例子,规则将返回至pass动作,因为在SecDefaultAction里定义的,通过
SecRuleUpdateActionById指令和block动作,这允许管理员覆盖第三方规则而不用修改规则本身。
### Administrator defines "how" to block (deny,status:403)...
SecDefaultAction phase:2,pass,log,auditlog
### Included from a rulest...
SecRule REQUEST_HEADERS:User-Agent "nikto" "id:1,phase:2,deny,msg:'Nikto Scanners Identified'"
### Added by the administrator
SecRuleUpdateActionById 1 "block"