Coraza WAF审计日志JSON格式配置问题解析

背景介绍

Coraza WAF作为一款开源的Web应用防火墙，提供了灵活的日志记录功能。其中审计日志(Audit Log)是安全分析的重要数据来源，Coraza支持将审计日志以JSON格式输出，这相比传统的ModSecurity格式更便于日志系统解析和处理。

问题现象

用户在使用Coraza SPOA(HAProxy插件)时发现，虽然在配置文件中设置了SecAuditLogFormat JSON指令，但审计日志仍然以传统格式输出，JSON格式化似乎被忽略。具体表现为日志消息被包裹在一个JSON对象中，但内部内容仍是传统的字符串格式。

技术分析

经过深入分析，这个问题实际上涉及两个层面的日志处理：

1. Coraza核心日志处理：Coraza本身确实支持JSON格式的审计日志输出。当正确配置SecAuditLogFormat JSON时，核心引擎会生成结构化的JSON日志，包含完整的交易信息，如时间戳、客户端IP、请求方法、URI等。

2. SPOA插件实现：Coraza SPOA插件在处理日志时，将Coraza生成的日志消息作为字符串封装到自己的JSON结构中，导致即使核心生成了JSON格式日志，最终输出仍被转换为字符串形式。

解决方案

要解决这个问题，可以考虑以下两种方法：

1. 修改SPOA插件代码：调整SPOA插件的日志处理逻辑，使其能够识别并保留Coraza生成的JSON结构，而不是将其转换为字符串。这需要对插件的日志回调函数进行修改。

2. 区分日志类型：注意区分错误日志(Error Log)和审计日志(Audit Log)的不同处理方式。错误日志通常用于记录WAF运行时的警告和错误信息，而审计日志则记录完整的交易详情。目前Coraza的JSON格式化主要针对审计日志。

最佳实践建议

对于希望获得完整JSON格式日志的用户，建议：

1. 确保正确配置审计日志路径和格式指令
2. 检查使用的插件或中间件是否保留了原始JSON结构
3. 考虑直接使用Coraza核心功能进行测试，排除插件干扰
4. 对于生产环境，可以开发自定义的日志处理器来满足特定格式需求

总结

Coraza WAF本身具备生成JSON格式审计日志的能力，但在与各种代理或插件集成时，可能会因日志处理链路的差异导致格式变化。理解这一机制有助于用户更好地配置和使用Coraza的日志功能，为安全监控和分析提供更优质的数据源。