La visualització dels logs des de terminal es una mica pal i a mes no ens sabem quan hi ha hagut un atac o possible atac, per solucionar aquesta carència tenim mlogc que consta de dues parts la part servidor web ( es pot instal·lar a un linux o windows) que on visualitzarem les alertes de modsecurity d’una manera detallada, llegible i en temps real i la part client que correrà al servidor de modsecurity i que serà l’encarregat d’enviar la informació al servidor i d’avisar per mail a l’administrador en cas d’incidències.

Per començar em compilar mlogc per això anirem a la carpeta on haví­em descomprimit modsecurity i entrarem al directori apache, una vegada dins executarem

./configure
make mlogc

Una vegada acabat anirem al directori tools i allà­ trobarem l’arxiu mlogc, aquest s’ha de copiar a /usr/local/bin mentre que l’arxiu mlogc-default.conf que es troba junt amb les fonts de mlogc es copiarà a /etc .

cp mlog /usr/local/bin
cd ..
cd apache/mlogc-src
cp mlogc-default.conf /etc/mlogc.conf

Al mlogc.conf s’ha de modificar per canviar la ip del servidor destí­ i el nom d’usuari i password.

nano mlogc.conf

Modifiquem les següents lí­nies.

ConsoleURI          "https://CONSOLE_IP_ADDRESS:8888/rpc/auditLogReceiver"
SensorUsername      "SENSOR_USERNAME"
SensorPassword      "SENSOR_PASSWORD"

Seguidament anem a modificar el fitxer modsecurity_crs_10_config.conf

cd /etc/apache2/modsecurity/
nano modsecurity_crs_10_config.conf

Li diem que ara mlogc recull les dades

     # Use ReleventOnly auditing
     SecAuditEngine RelevantOnly
 
     # Must use concurrent logging
     SecAuditLogType Concurrent
 
     # Send all audit log parts
     SecAuditLogParts ABIDEFGHZ
 
     # Use the same /CollectorRoot/LogStorageDir as in mlogc.conf
     SecDataDir /var/log/mlogc
     SecAuditLogStorageDir /var/log/mlogc/data
 
     # Pipe audit log to mlogc with your configuration
     SecAuditLog "|/usr/local/bin/mlogc /etc/mlogc.conf"

Finalitzada la instal·lació procedim a instal·lar el servidor-consola, està disponible en Linux i Windows.

Per fer la instal·lació en Linux només cal descomprimir l’arxiu modsecurity-console_1_0_5_unix.tar.gz

Per iniciar la consola ejecutar:

modsecurity-console start

Fet això només cal entrar per web a la consola , i configurar el sensor. Important també posar una clau de llicencia vàlida ( es gratis obtenir-la).