WAFとしてmod_securityを入れていますが、これが出してくるログが読めない。こんなのを出してくる。

[Thu Jun 06 09:29:13.102466 2016] [:error] [pid 27452:tid 140091393529600] [client 10.1.100.1] ModSecurity: Access denied with code 403 (phase 2). Pattern match "^(内緒の文字列)" at REQUEST_URI. [file "/usr/local/apache2/conf/extra/base_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [line "254"] [id "981242"] [msg "Detects classic SQL injection probings 1/2"] [data "Matched Data: \\xae3 | \\xe5\\x9b\\xbd\\xe5\\x86\\x85\\xe5\\x8f\\x96\\xe5\\xbc\\x95\\xe3\\x81\\xa8\\xe3\\x81\\xae\\xe9\\x81\\x95\\xe3\\x81\\x84 - \\xe5\\x9b\\xb3\\xe8\\xa7\\xa3\\xe3\\x83\\xbb\\xe8\\xb2\\xbf\\xe6\\x98\\x93\\xe3\\x81\\xae\\xe3\\x81\\x97\\xe3\\x81\\x8f\\xe3\\x81\\xbf - \\xe8\\xbc\\xb8\\xe5\\x87\\xba} found within REQUEST_URI: /hoge.html"] [severity "CRITICAL"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] [hostname "www.exmple.com"] [uri "/hoge.html"] [unique_id "VcKqWawQGTkAAGs8fXQAAADO"]

ここの\\x96とかのあたりが引っかかっているらしいのですが、なんてかいてるんだ。
ずーっと眺めていると、なんとなくURIエンコードに似ているなぁと気づく。"\\x"の部分を%に変換してからデコードすると、ちゃんと文字列になりました。いやー、もっと早く気づけ。
本件の場合は、パイプとその前後の文字列があやしいみたい。