Supongamos que tiene un servidor Apache escuchando localhost y CRS habilitado y escuchando la ubicación ModSecLivesHere, simplemente puede enviar todo su campo de registro de acceso 6 (URL) a esa dirección y obtener 403 respuestas.
for i in $(cat access.log |awk '{print $6}'); do
curl http://127.0.0.1/ModSecLivesHere/${i}
done
Esto se supone que la ubicación siempre responderá con un 200 OK, excepto si ModSecurity intercepta la solicitud, en cuyo caso responderá un 403 Prohibido
RewriteEngine On
RewriteRule .* - [R=200,L]
La mejor manera si tiene un gran espacio de almacenamiento adjunto es utilizar el registro de auditoría y almacenar todas las solicitudes y respuestas (tipo de FPC con carga útil desencriptada), no solo las transacciones RelevantOnly, por lo que puede hacer una reproducción completa del tráfico. .io tienen algunas cosas enfria.
Con el registro de auditoría puede verificar la solicitud completa, no solo el URI como lo haría con el registro de acceso, el registro de errores está lleno de cosas que no están relacionadas solo con las solicitudes, por lo que debe filtrarlo primero y luego hacer algo. similar a lo que sugerí.