En una configuración por defecto de mod Security, automáticamente se registrar los errores HTTP 401 Unauthorized (No autorizado) en los logs. Esto es debido a la configuración de la directiva SecAuditLogRelevantStatus.
SecAuditLogRelevantStatus especifica qué códigos de respuesta HTTP son considerados relevantes para mod Security, y por consiguiente quedarán registrados en sus logs de auditoría. Esta directiva tiene como dependencia que SecAuditEngine esté configurado como RelevantOnly
La sintaxis requiere de expresiones regulares y por defecto se suele utilizar lo siguiente:
SecAuditLogRelevantStatus "^(?:5|4(?!04))"
El ejemplo muestra que mod Security registrará en el log de auditoría todos los errores 5xx y 4xx a excepción de los 404 (HTTP 404 Not Found o HTTP 404 No encontrado). Y aquí viene el motivo del artículo, ya que esta configuración incluye el registro de los errores 401. Si queremos evitarlo, es tan sencillo como modificar la expresión regular y excluir también estos códigos de error HTTP:
SecAuditLogRelevantStatus "^(?:5|4(?!(01|04)))"