Skip to main content

搜索企业的审核日志

可以在企业中搜索已审核操作的广泛列表。

Who can use this feature

Enterprise owners and site administrators can search the audit log.

关于搜索企业审核日志

通过使用“筛选器”下拉菜单或键入搜索查询来直接从用户界面搜索企业审核日志。

搜索查询

有关查看企业审核日志的详细信息,请参阅“访问企业的审核日志”。

也可以使用 API 检索审核日志事件。 有关详细信息,请参阅“使用你企业的审核日志 API”。

无法使用文本搜索条目。 但是,您可以使用各种过滤器构建搜索查询。 查询日志时使用的许多运算符,如 -><,与在 GitHub Enterprise Server 上搜索时的格式相同。 有关详细信息,请参阅“在 GitHub 上搜索”。

注意:审核日志列出了由影响企业的活动触发的事件。 GitHub Enterprise Server 的审核日志将无限期保留.

默认情况下,仅显示过去三个月的事件。 若要查看较旧的事件,必须使用 created 参数指定日期范围。 有关详细信息,请参阅“了解搜索语法”。

搜索查询筛选器

筛选器说明
Yesterday's activity在过去一天中创建的所有操作。
Enterprise account managementbusiness 类别中的所有操作。
Organization membership邀请新用户加入组织时的所有操作。
Team management与团队管理相关的所有操作。
- 从团队添加或删除用户帐户或存储库时
- 当团队维护者被提升或降级时
- 删除团队时
Repository management用于存储库管理的所有操作。
- 创建或删除存储库时
- 更改存储库可见性时
- 从存储库添加或删除团队时
Hook activity用于 Webhook 和预接收挂钩的所有操作。
Security management有关 SSH 密钥、部署密钥、安全密钥、2FA 和 SAML 单一登录凭据授权以及存储库漏洞警报的所有操作。

搜索查询语法

你可以用一个或多个 key:value 对(以 AND/OR 逻辑运算符分隔)构成一个搜索查询。 例如,要查看自 2017 年初开始影响存储库 octocat/Spoon-Knife 的所有操作:

repo:"octocat/Spoon-Knife" AND created:>=2017-01-01

可以在搜索查询中使用的 key:value 对包括:

密钥
actor_id发起操作的用户帐户的 ID
actor发起操作的用户帐户的名称
oauth_app_id与操作相关联的 OAuth 应用程序的 ID
action已审核操作的名称
user_id受操作影响的用户的 ID
user受操作影响的用户的名称
repo_id受操作影响的仓库的 ID(若适用)
repo受操作影响的仓库的名称(若适用)
actor_ip发起操作的 IP 地址
created发生操作的时间 。 如果从站点管理员仪表板查询审核日志,请改用 created_at
from发起操作的视图
note事件特定的其他信息(采用纯文本或 JSON 格式)
org受操作影响的组织的名称(若适用)
org_id受操作影响的组织的 ID(若适用)
business受操作影响的企业名(若适用)
business_id受操作影响的企业 ID(若适用)

要查看按类别分组的操作,还可以将操作限定符用作 key:value 对。 有关详细信息,请参阅“基于执行的操作进行搜索”。

有关企业审核日志中的操作的完整列表,请参阅“企业的审核日志操作”。

搜索审核日志

基于操作搜索

使用 operation 限定符将操作限制为特定类型的操作。 例如:

  • operation:access 查找访问过资源的所有事件。
  • operation:authentication 查找执行过身份验证事件的所有事件。
  • operation:create 查找创建过资源的所有事件。
  • operation:modify 查找修改过现有资源的所有事件。
  • operation:remove 查找删除过现有资源的所有事件。
  • operation:restore 查找还原过现有资源的所有事件。
  • operation:transfer 查找传输过现有资源的所有事件。

基于仓库搜索

使用 repo 限定符将操作限制到特定存储库。 例如:

  • repo:my-org/our-repo 查找 my-org 组织中 our-repo 存储库发生的所有事件。
  • repo:my-org/our-repo repo:my-org/another-repo 查找 my-org 组织中 our-repoanother-repo 存储库发生的所有事件。
  • -repo:my-org/not-this-repo 排除 my-org 组织中 not-this-repo 存储库发生的所有事件。

请注意,必须在 repo 限定符包括帐户名称;仅搜索 repo:our-repo 将不起作用。

基于用户搜索

actor 限定符可将事件范围限于执行操作的人员。 例如:

  • actor:octocat 查找 octocat 执行的所有事件。
  • actor:octocat actor:hubot 查找 octocathubot 执行的所有事件。
  • -actor:hubot 排除 hubot 执行的所有事件。

请注意,只能使用 GitHub Enterprise Server 用户名,而不是个人的真实姓名。

基于执行的操作搜索

要搜索特定事件,请在查询中使用 action 限定符。 例如:

  • action:team 查找分组在团队类别中的所有事件。
  • -action:hook 排除 Webhook 类别中的所有事件。

每个类别都有一组可进行过滤的关联操作。 例如:

  • action:team.create 查找创建团队的所有事件。
  • -action:hook.events_changed 排除已更改 Webhook 上事件的所有事件。

可在企业审核日志中找到的操作按以下类别分组:

| 类别名称 | 说明 |------------------|------------------- | artifact | 包含与 GitHub Actions 工作流运行工件相关的活动。 | business | 包含与企业的业务设置相关的活动。 | business | 包含与企业的业务设置相关的活动。 | checks | 包含与检查套件和运行相关的活动。 | commit_comment | 包含与更新或删除提交评论相关的活动。 | config_entry | 包含与配置设置相关的活动。 这些事件仅在站点管理员审核日志中可见。 | | dependabot_alerts | 包含现有存储库中 Dependabot alerts 的组织级配置活动。 有关详细信息,请参阅“关于 Dependabot alerts”。 | dependabot_alerts_new_repos | 包含组织新建存储库中 Dependabot alerts 的组织级配置活动。 | dependabot_repository_access | 包含与允许 Dependabot 访问组织中哪些专用存储库相关的活动。 | dependabot_security_updates | 包含现有存储库中 Dependabot security updates 的组织级配置活动。 有关详细信息,请参阅“配置 Dependabot security updates”。 | dependabot_security_updates_new_repos | 包含组织新建存储库中 Dependabot security updates 的组织级配置活动。 | dependency_graph | 包含存储库依赖项关系图的组织级配置活动。 有关详细信息,请参阅“关于依赖项关系图”。 | dependency_graph_new_repos | 包含组织新建存储库的组织级配置活动。 | dotcom_connection | 包含与 GitHub Connect 相关的活动。 | enterprise | 包含与企业设置相关的活动。 | gist | 包含与 Gists 相关的活动。 | hook | 包含与 Webhook 相关的活动。 | integration | 包含与帐户中的集成相关的活动。 | integration_installation | 包含与帐户中安装的集成相关的活动。 | integration_installation_request | 包含与组织成员请求所有者批准在组织中使用的集成相关的活动。 | issue | 包含与固定、转移或删除存储库中问题相关的活动。 | issue_comment | 包含与固定、转移或删除问题评论相关的活动。 | issues | 包含与为组织启用或禁用问题创建相关的活动。 | members_can_create_pages | 包含与管理组织存储库的 GitHub Pages 站点发布相关的活动。 有关详细信息,请参阅“为组织管理 GitHub Pages 站点的发布”。 | members_can_create_private_pages | 包含与管理组织存储库的专用 GitHub Pages 站点发布相关的活动。 | members_can_create_public_pages | 包含与管理组织存储库的公共 GitHub Pages 站点发布相关的活动。 | members_can_delete_repos | 包含与为组织启用或禁用存储库创建相关的活动。 | oauth_access | 包含与 OAuth 访问令牌相关的活动。 | oauth_application | 包含与 OAuth 应用相关的活动。 | org | 包含与组织成员身份相关的活动。 | org_credential_authorization | 包含与授权凭据以用于 SAML 单一登录相关的活动。 | organization_default_label | 包含与组织中存储库的默认标签相关的活动。 | organization_domain | 包含与已验证的组织域相关的活动。 | organization_projects_change | 包含与企业中组织范围的项目板相关的活动。 | pre_receive_environment | 包含与预接收挂钩环境相关的活动。 | pre_receive_hook | 包含与预接收挂钩相关的活动。 | private_instance_encryption | 包含与为企业启用专用模式相关的活动。 | private_repository_forking | 包含与允许存储库、组织或企业的专用和内部存储库分支相关的活动。 | project | 包含与项目板相关的活动。 | project_field | 包含与项目板中的字段创建和删除相关的活动。 | project_view | 包含与项目板中的视图创建和删除相关的活动。 | protected_branch | 包含与受保护分支相关的活动。 | public_key | 包含与 SSH 密钥和部署密钥相关的活动。 | pull_request | 包含与拉取请求评审相关的活动。 | pull_request_review | 包含与拉取请求评审相关的活动。 | pull_request_review_comment | 包含与拉取请求评审评论相关的活动。 | repo | 包含与组织拥有的存储库相关的活动。 | repository_image | 包含与存储库映像相关的活动。 | repository_invitation | 包含与邀请加入存储库相关的活动。 | repository_projects_change | 包含与为存储库或组织中的所有存储库启用项目相关的活动。 | repository_secret_scanning | 包含与机密扫描相关的存储库级活动。 有关详细信息,请参阅“关于机密扫描”。 | repository_vulnerability_alert | 包含与 Dependabot alerts 相关的活动。 | restrict_notification_delivery | 包含与将电子邮件通知限制为企业的已批准或已验证域相关的活动。 | secret_scanning | 包含现有存储库中机密扫描的组织级配置活动。 有关详细信息,请参阅“关于机密扫描”。 | secret_scanning_new_repos | 包含组织新建存储库中机密扫描的组织级配置活动。 | security_key | 包含与安全密钥注册和删除相关的活动。 | ssh_certificate_authority | 包含与组织或企业中的 SSH 证书颁发机构相关的活动。 | ssh_certificate_requirement | 包含与要求成员使用 SSH 证书访问组织资源相关的活动。 | staff | 包含与执行操作的站点管理员相关的活动。 | team | 包含与组织中的团队相关的活动。 | team_discussions | 包含与管理组织的团队讨论相关的活动。 | two_factor_authentication | 包含与双因素身份验证相关的活动。 | user | 包含与企业或组织中的用户相关的活动。 | user_license | 包含与占用企业许可席位并身为企业成员的用户相关的活动。 | workflows | 包含与 GitHub Actions 工作流相关的活动。

基于操作时间搜索

使用 created 限定符可以根据事件发生的时间筛选审核日志中的事件。

日期格式必须遵循 ISO8601 标准,即 YYYY-MM-DD(年-月-日)。 也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以按小时、分钟和秒进行搜索。 即 T,随后是 HH:MM:SS(时-分-秒)和 UTC 时差 (+00:00)。

搜索日期时,可以使用大于、小于和范围限定符来进一步筛选结果。 有关详细信息,请参阅“了解搜索语法”。

例如:

  • created:2014-07-08 查找 2014 年 7 月 8 日发生的所有事件。
  • created:>=2014-07-08 查找 2014 年 7 月 8 日当天或之后发生的所有事件。
  • created:<=2014-07-08 查找 2014 年 7 月 8 日当天或之前发生的所有事件。
  • created:2014-07-01..2014-07-31 查找 2014 年 7 月发生的所有事件。

基于位置搜索

使用限定符 country,可以根据原始国家/地区筛选审核日志中的事件。 你可以使用国家/地区的两字母短代码或完整名称。 名称中包含空格的国家/地区需要加引号。 例如:

  • country:de 查找在德国发生的所有事件。
  • country:Mexico 查找在墨西哥发生的所有事件。
  • country:"United States" 查找在美国发生的所有事件。