Coraza WAF中规则980170日志信息缺失问题的分析与解决

问题背景

在Coraza WAF（Web应用防火墙）的实际部署中，安全团队发现一个异常现象：当规则ID为980170的安全事件被触发时，系统生成的异常分数日志中缺失了关键的"msg"字段内容。该字段本应包含详细的异常分数分析报告，这对于安全分析和事件响应至关重要。

问题表现

正常情况下，规则980170触发时应生成包含完整异常分数分析的日志，格式如下：

{
  "msg": "Anomaly Scores: (Inbound Scores: blocking=25, detection=25...)"
}

但实际观察到的日志中，"msg"字段为空：

{
  "msg": ""
}

技术分析

经过深入分析，发现问题根源在于Coraza WAF的默认行为机制。规则980170属于第5阶段（phase 5）的响应关联规则，而Coraza WAF默认不会自动记录这一阶段的规则匹配信息，除非显式配置。

这与WAF的工作机制有关：

1. Coraza WAF将请求处理分为5个不同阶段
2. 每个阶段的日志记录行为可以独立配置
3. 默认配置可能不会覆盖所有阶段的日志记录需求

解决方案

要解决这个问题，需要在WAF配置中明确指定第5阶段的默认动作，包括日志记录功能。具体配置方法如下：

在Coraza WAF的directives配置中添加：

SecDefaultAction "phase:5,log,auditlog,pass"

这一配置明确指示WAF：

• 对第5阶段的规则匹配执行日志记录(log)
• 同时记录审计日志(auditlog)
• 保持默认的通过行为(pass)

验证结果

应用上述配置后，系统生成的日志已包含完整的异常分数信息：

{
  "msg": "Anomaly Scores: (Inbound Scores: blocking=3, detection=3...)"
}

最佳实践建议

1. 对于生产环境部署，建议审查所有阶段的默认动作配置
2. 考虑为关键安全规则单独配置日志级别
3. 定期验证日志完整性，确保安全事件的可追溯性
4. 保持WAF规则集和引擎的及时更新

总结