Normalmente, la gestión de eventos se realiza revisando directamente los eventos que se registran en el propio log de ModSecurity. Cuando tenemos un único servidor web normalmente es suficiente pero cuando el número comienza a crecer la gestión centralizada es sin duda la mejor opción. En este punto es cuando comencé a buscar una consola web de administración centralizada para ModSecurity que permitiera centralizar los logs de varios servidores web en un único punto y que además ofreciera funcionalidades extra como filtrado de eventos, gráficas, etc.
WAF-FLE (sí, tiene nombre de gofre…) es una consola web OpenSource (GPL v2) en PHP que permite administrar, almacenar (MySQL) y visualizar eventos en un dashboard gráfico que hace uso de mlog2waffle o mlogc para el envío de logs entre los sensores (servidores web) y la consola central.
Una vez configurados los sensores, a través de WAF-FLE podemos visualizar los eventos de forma ordenada o descargarlos en bruto, aplicar filtros según redes (CIDR), tipo de regla, host, intervalo de tiempo…, visualizar gráficas con el número de ataques detectados, el origen, el TOP 10 de reglas que más han bloqueado peticiones, etc.
El tipo de instalación dependerá del entorno. Se puede instalar en el mismo host que tiene el servidor web (Standalone), distribuido con los servidores web por un lado y WAF-FLE y la base de datos en un host independiente o distribuido separando también la base de datos de WAF-FLE. Todo lo tenéis explicado en la documentación.
Por el momento el único punto que me está dando problemas es la integración con NGINX además de Apache, veremos si lo consigo o hay que esperar a una nueva release por parte del creador.