Wazuh를 사용해보자 - 연동 1편 (FW)에서 이어집니다.

이 가이드는 2026년 4월 14일자 설치된 Wazuh v4.14.4_rc2로 진행되었습니다.
이 가이드는 웹방화벽 bunkerweb v1.6.10, 웹서버 lighttpd/1.4.74 로 진행되었습니다.

5. 웹방화벽 연동

웹서버를 보호하는 방법은 다양합니다. 방화벽만 두거나 IPS를 두기도 하고, WAF를 두기도 하고 다양한 형태로 웹서버를 보호할 수 있지만 https를 사용하게 되면서 트래픽을 ssl인증서를 통해 암복호화 하고 CDN을 사용하는 경우가 많아지게되며 IP기반이 아닌 행위 기반으로 차단하는 WAF를 사용해 보호하는 추세입니다.
위의 도표 이외에도 웹서버를 어디에 어떻게 두는가는 많은 예시가 있지만 저는 이하의 구성으로 테스트를 진행해보겠습니다.

1. 웹방화벽에 Wazuh Agent 설치

Wazuh Overview 화면에 보이는 Agents Summary의 Deploy new agent 또는

메뉴버튼의 Agents management -> Summary -> Deploy new agent를 누른 뒤

웹방화벽을 설치한 OS (테스트 환경에선 우분투 서버를 사용했습니다.)에 맞게 선택한 뒤
에이전트가 통신할 IP (Wazuh Manager가 있는 서버)를 입력한 후
에이전트 이름을 작성해주고 4번의 커맨드를 설치할 웹방화벽에 입력해줍니다.

웹방화벽이 설치된 서버에 에이전트 설치를 마친 뒤

에이전트를 설치하고 나면 이제 에이전트가 잡힌것을 확인 할 수 있습니다.
에이전트가 잘 잡힌것을 확인했다면 이제 에이전트를 통해 넘겨줄 로그 등을 설정해봅시다.

2. 넘겨줄 로그를 설정하기

웹방화벽의 /var/ossec/etc/ossec.conf 에서 넘겨줄 로그를 설정하기 전 웹방회벽 로그들이 어디에 있는지 확인해봅시다.

/var/log/bunkerweb 에 로그들이 있는것을 확인했다면 일단 access.log와 error.log를 넘겨주도록 합시다.

웹방화벽 /var/ossec/etc/ossec.conf 에

<localfile>
  <log_format>apache</log_format>
  <location>/var/log/bunkerweb/access.log</location>
</localfile>

<localfile>
  <log_format>apache</log_format>
  <location>/var/log/bunkerweb/error.log</location>
</localfile>

를 파일 맨 아래쪽에 넣어줍시다.

이제 에이전트를 재시작하면 연동은 전부 끝났습니다.

systemctl restart wazuh-agent

3. 웹방화벽 - Wazuh 연동 확인하기

방화벽때랑 다르게 디코더도 룰도 이미 있어서 연동이 잘 됩니다. 연동이 잘 되었는지 확인하기 위해 웹방화벽의 보호를 받는 웹서버에 간단하게 입력해봅니다.
바로 wazuh에서 확인해보면 이벤트로 잘 탐지된것을 확인할 수 있습니다.

상세 로그도 확인이 가능합니다.

SQL Injection도 테스트해봤습니다.

이벤트가 정상적으로 발생되는것을 확인할 수 있습니다.

이로써 Wazuh와 WAF(Bunkerweb WAF) 연동은 끝났습니다. 다음엔 웹서버와 연동하는 방법을 알아보겠습니다.