Los logs en tu mod_security los has configurado con otro nombre, "SecAuditLog logs/mod_security2.log", ahí tienes la ubicación y el nombre

Es cierto, una configuración muy básica, prácticamente no te protege de nada, te sugiero ver este enlace para ver más reglas y ejemplos de una mejor configuración. Hay muchos ejemplos, pero recuerda es una configuración con muchas reglas para Linux.

Sobre mod_evasive, funciona tanto en apache 1.3.x como en apache 2.x.x, nunca lo he instalado bajo windows así que la verdad, no tengo ni idea.

Hardware: pues, hay muchos firewalls de hardware que son buenos, pero dudo que puedas pagarlos si es para un proyecto de tu colegio.
SO: Linux o BSD, definitivamente elegiste mal esto al usar Windows si buscabas seguridad.
Servidor Apache: esos dos están bien para comenzar
Aplicación web: register_globals en off, safe mode en on, deshabilitar funciones de php, phpsuexec, suexec, la extension suhoshin, open_basedir activado, etc.

En ese sitio que te di el enlace antes, hay muchos artículos de seguridad, pero casi todos son para Linux.

Saludos!