Instalación de ELK
Ahora para configurar Elasticsearch + Logstash + Kibana, se instaló en el servidor el paquete filebeat y se configuró para que los logs de /var/log/apache2/modsec_audit.log sea enviado a elasticsearch. No entro en detalle de como hacerlo porque existe mucha documentación en el sitio oficial https://www.elastic.co que muestran como hacer esto.
Una vez realizado esto se puede buscar usando elasticsearch la causa de bloqueo, usando el código proporcionado al usuario en el error 403.
Ahora para añadir excepciones a los falsos positivos recomiendo leer este artículo. https://samhobbs.co.uk/2015/09/example-whitelisting-rules-apache-modsecurity-and-owasp-core-rule-set.
Esta es una de las maneras que puedes proteger tu sitio web con costo 0, en próximos artículos mostraré otros métodos.
Super interesante el articulo!!!
Muchas gracias.