감사 로그 도구

이 도구들은 워크스페이스에서 이미 일어난 일을 조회할 수 있게 해줍니다: 누가 무엇을 했는지, 어떤 서버에서 어떤 명령이 실행됐는지, WebFTP로 어떤 파일이 이동했는지, 기록된 세션에서 AI 보안 분석이 무엇을 발견했는지입니다. “지난주 web-01에서 nginx를 누가 재시작했어” 또는 “그 Websh 세션에서 수상한 일이 있었어” 같은 요청이 이 도구들로 이어집니다.

세션 분석은 Work Session 활동에 대해 Alpacon이 실행하는 AI 기반 보안 검토입니다. 세션이 종료되면 자동으로 트리거되거나, work_session_analyze로 수동 실행할 수 있습니다. 각 분석은 위험도 점수를 담고 있으며, 전체 상세 조회에서는 MITRE ATT&CK 매핑, 공격 체인 서술, 권장 조치까지 제공됩니다. list_session_analyses로 워크스페이스 전체를 훑어 위험한 세션을 찾은 뒤, get_session_analysis_detail로 하나를 골라 전체 내용을 확인하세요.

모든 도구는 workspace(필수)와 region(선택, 미지정 시 설정된 리전 사용)을 공통으로 받습니다. 아래 표에서는 이 공통 파라미터를 생략합니다.

요약

도구설명접근 수준
list_activity_logs사용자·시스템 활동을 감사하기 위한 활동 로그를 조회합니다읽기 전용
get_activity_log특정 활동 로그 항목의 전체 상세를 조회합니다읽기 전용
list_server_logs서버 명령 실행 이력을 조회합니다읽기 전용
list_webftp_logsWebFTP 파일 전송 이력을 조회합니다읽기 전용
list_session_analyses워크스페이스 전체의 AI 보안 분석 결과를 조회합니다읽기 전용
get_session_analysis_detailMITRE ATT&CK 매핑을 포함한 AI 보안 분석 전체 상세를 조회합니다읽기 전용

활동 로그

list_activity_logs

워크스페이스 전체의 사용자·시스템 활동을 감사하기 위한 활동 로그를 조회합니다. “누가 무엇을 했는지”를 폭넓게 훑어볼 때 사용합니다. 명령이나 파일 전송에 특화된 이력을 보려면 대신 list_server_logslist_webftp_logs를 사용하세요.

접근 수준: 읽기 전용

파라미터

파라미터타입필수설명
pageinteger아니오페이지네이션용 페이지 번호
page_sizeinteger아니오페이지당 항목 수

예시

“오늘 이 워크스페이스에서 무슨 일이 있었어?”

에이전트는 list_activity_logs를 호출해 기록된 활동을 요약합니다.

get_activity_log

특정 활동 로그 항목의 전체 상세를 ID로 조회합니다. list_activity_logs로 조회한 뒤 특정 항목을 자세히 볼 때 사용합니다.

접근 수준: 읽기 전용

파라미터

파라미터타입필수설명
log_idstring활동 로그 항목 ID

예시

“그 활동 로그 항목의 전체 내용을 보여줘”

에이전트는 이전 list_activity_logs 결과에서 얻은 로그 ID로 get_activity_log를 호출합니다.

이력 로그

list_server_logs

서버 명령 실행 이력을 조회합니다. server_id로 필터링하면 특정 서버로 범위를 좁힐 수 있습니다. 서버의 명령 실행 감사 추적을 검토할 때 사용하며, 출력 결과와 함께 최근 명령을 보여주는 list_commands와는 용도가 다릅니다.

접근 수준: 읽기 전용

파라미터

파라미터타입필수설명
server_idstring아니오이 서버에서 실행된 명령으로 결과를 필터링
pageinteger아니오페이지네이션용 페이지 번호
page_sizeinteger아니오페이지당 항목 수

예시

“db-01의 명령 실행 이력을 보여줘”

에이전트는 db-01의 UUID를 server_id로 지정해 list_server_logs를 호출합니다.

list_webftp_logs

WebFTP 파일 전송 이력을 조회합니다. server_id로 필터링하면 특정 서버로 범위를 좁힐 수 있습니다.

접근 수준: 읽기 전용

파라미터

파라미터타입필수설명
server_idstring아니오이 서버가 관련된 전송으로 결과를 필터링
pageinteger아니오페이지네이션용 페이지 번호
page_sizeinteger아니오페이지당 항목 수

예시

“이번 주에 web-01로 전송된 파일이 뭐야?”

에이전트는 web-01의 UUID를 server_id로 지정해 list_webftp_logs를 호출하고 전송 이력을 확인합니다.

세션 분석

list_session_analyses

워크스페이스 전체 Websh 세션의 AI 보안 분석 결과를 요약, 위험도 점수, 분석 시각과 함께 조회합니다. server_id, status(pending, processing, completed, failed), risk_score(low, medium, high, critical)로 필터링할 수 있습니다. 여러 세션을 훑어본 뒤 특정 세션을 자세히 볼 때 유용합니다.

접근 수준: 읽기 전용

파라미터

파라미터타입필수설명
server_idstring아니오서버 ID로 필터링
statusstring아니오분석 상태로 필터링
risk_scorestring아니오위험도 점수로 필터링
pageinteger아니오페이지네이션용 페이지 번호
page_sizeinteger아니오페이지당 항목 수

예시

“지난주 위험도가 높거나 심각한 세션을 보여줘”

에이전트는 risk_score="high"list_session_analyses를 호출해 결과를 확인한 뒤, risk_score="critical"로 나머지를 조회합니다.

get_session_analysis_detail

특정 세션 분석 기록의 전체 AI 보안 분석을 조회합니다: 위험 요인, MITRE ATT&CK 매핑, 공격 체인 분석, 위협 지표, 타임라인 분석, 권장 조치가 포함됩니다.

접근 수준: 읽기 전용

파라미터

파라미터타입필수설명
analysis_idstring세션 분석 기록 ID

예시

“그 세션이 고위험으로 나왔던데, 분석에서 정확히 뭘 발견한 거야?”

에이전트는 분석 ID로 get_session_analysis_detail을 호출해 위험 요인, MITRE ATT&CK 매핑, 권장 조치를 확인합니다.

관련 문서

  • 작업 세션 도구: work_session_analyze가 이 페이지에서 조회하는 분석을 트리거하며, work_session_timeline은 같은 세션의 원본 명령·파일 활동을 보여줍니다
  • 이벤트·웹훅 도구: 서버 수준 이벤트 로깅과 검색
  • 감사 개요: Alpacon 웹 인터페이스의 세션, 이벤트, 거버넌스 기록에 대한 개념 가이드
최종 수정: