ModSecurity中按虚拟主机分类存储审计日志的最佳实践

背景介绍

ModSecurity作为一款开源的Web应用防火墙(WAF)模块，广泛应用于Apache等Web服务器中。其审计日志功能对于安全分析和事件调查至关重要。在实际生产环境中，管理员经常需要将不同虚拟主机(vhost)的审计日志分开存储，以便于管理和分析。

问题分析

默认情况下，ModSecurity将所有虚拟主机的审计日志统一存储在SecAuditLogStorageDir指定的目录中。这种集中存储方式虽然简单，但在多虚拟主机环境下会带来以下问题：

1. 日志文件混杂，难以区分不同站点的访问记录
2. 单个日志文件可能变得过大，影响分析效率
3. 缺乏按站点分类的日志组织结构

解决方案

方案一：直接为每个虚拟主机指定独立日志路径

在Apache的虚拟主机配置中，可以直接为每个站点指定独立的SecAuditLog路径：

<VirtualHost *:8080>
    ServerName site1.com
    <IfModule mod_security2.c>
        SecAuditLogStorageDir /opt/modsecurity/var/audit/site1.com
        SecAuditLog /opt/modsecurity/var/audit/site1.com/audit.log
    </IfModule>
</VirtualHost>

<VirtualHost *:8080>
    ServerName site2.com
    <IfModule mod_security2.c>
        SecAuditLogStorageDir /opt/modsecurity/var/audit/site2.com
        SecAuditLog /opt/modsecurity/var/audit/site2.com/audit.log
    </IfModule>
</VirtualHost>

这种方法的优点是：

• 配置简单直观
• 每个站点日志完全隔离
• 便于后续日志分析和归档

方案二：使用mod_macro实现自动化配置

对于拥有大量虚拟主机的环境，可以使用Apache的mod_macro模块来简化配置：

<Macro VHostWithSecLog $name $port>
    <VirtualHost *:$port>
        ServerName $name
        <IfModule mod_security2.c>
            SecAuditLogStorageDir /opt/modsecurity/var/audit/$name
            SecAuditLog /opt/modsecurity/var/audit/$name/audit.log
        </IfModule>
    </VirtualHost>
</Macro>

Use VHostWithSecLog site1.com 8080
Use VHostWithSecLog site2.com 8080

这种方法特别适合：

• 需要管理大量虚拟主机的场景
• 希望保持配置一致性的环境
• 需要频繁添加新站点的场景

高级日志组织方案

虽然ModSecurity目前不支持直接在路径中使用变量(如$year、$month等)，但可以通过以下方式实现更精细的日志管理：

1. 使用日志轮转工具：结合logrotate等工具，按时间周期分割日志文件
2. 自定义脚本处理：编写脚本定期将日志文件移动到按日期组织的目录结构中
3. 集中式日志管理：将日志发送到ELK、Splunk等日志分析平台，利用其强大的分类和搜索功能

最佳实践建议

1. 权限设置：确保日志目录有适当的权限，通常设置为：

   chown -R www-data:www-data /opt/modsecurity/var/audit
   chmod -R 750 /opt/modsecurity/var/audit
   

2. 日志轮转：配置日志轮转策略，防止单个日志文件过大

3. 监控磁盘空间：定期检查日志目录的磁盘使用情况

4. 备份策略：为安全日志制定专门的备份计划

5. 日志分析：考虑使用自动化工具分析日志中的安全事件

总结

通过合理配置ModSecurity的审计日志存储路径，管理员可以有效地将不同虚拟主机的日志分开存储。虽然当前版本不支持直接在路径中使用时间变量等高级功能，但通过基本的虚拟主机配置或mod_macro等模块，已经能够满足大多数场景下的日志分类需求。对于更复杂的日志管理需求，可以结合外部工具和脚本实现。