ModSecurity - есть ли способ настроить DetectionOnly для каждого правила

Question

Используя Mod-Security, я хотел бы, чтобы мои производственные системы блокировали запросы (SecRuleEngine On), но по некоторым правилам (возможно, с обновлением RuleSet) я хотел бы получать уведомления. Это должно помочь мне определить False-Postive перед тем, как действительно ввести правило в действие.

Другими словами, я хотел бы настроить DetectionOnly для списка правил, в то время как другие все еще заблокированы.

Есть ли способ настроить это с ModSecurity?

Answer 1

Вы можете обновить указанное правило c, например:

SecRuleUpdateActionById 12345 "pass,log"

В качестве альтернативы вы можете написать свои собственные правила, чтобы отключить механизм правил для определенного сценария. См. Эти вопросы, например: Установить mod_security для обнаружения только для определенной страницы c?