Los logs en tu mod_security los has configurado con otro nombre, "
SecAuditLog logs/mod_security2.log", ahí tienes la ubicación y el nombre
Es cierto, una configuración muy básica, prácticamente no te protege de nada, te sugiero ver
este enlace para ver más reglas y ejemplos de una mejor configuración. Hay muchos ejemplos, pero recuerda es una configuración con muchas reglas para Linux.
Sobre mod_evasive, funciona tanto en apache 1.3.x como en apache 2.x.x, nunca lo he instalado bajo windows así que la verdad, no tengo ni idea.
Hardware: pues, hay muchos firewalls de hardware que son buenos, pero dudo que puedas pagarlos si es para un proyecto de tu colegio.
SO: Linux o BSD, definitivamente elegiste mal esto al usar Windows si buscabas seguridad.
Servidor Apache: esos dos están bien para comenzar
Aplicación web: register_globals en off, safe mode en on, deshabilitar funciones de php, phpsuexec, suexec, la extension suhoshin, open_basedir activado, etc.
En ese sitio que te di el enlace antes, hay muchos artículos de seguridad, pero casi todos son para Linux.
Saludos!