Mod_Security genera un archivo de logs llamado "audit_log", en Linux es así al menos, no se bien en windows, pero debe llamarse de igual forma, se ubica en la carpeta de logs de Apache. Si has visto el módulo cargado desde phpinfo, es porque seguramente está funcional, pero no será efectivo hasta que le coloques las reglas adecuadas.

Puedes escanear tu servidor con Nessus, es un scanner de vulnerabilidades, pero no a nivel de páginas tanto, sino a nivel de servidores.

Saludos,