Skip to main content

搜索企业的审核日志

可以在企业中搜索已审核操作的广泛列表。

谁可以使用此功能?

Enterprise owners can search the audit log.

关于搜索企业审核日志

通过使用“筛选器”下拉菜单或键入搜索查询来直接从用户界面搜索企业审核日志。

有关查看企业审核日志的详细信息,请参阅“访问企业的审核日志”。

注意:搜索结果中不包括 Git 事件。

也可以使用 API 检索审核日志事件。 有关详细信息,请参阅“在企业中使用审核日志 API”。

无法使用文本搜索条目。 但是,您可以使用各种过滤器构建搜索查询。 查询日志时使用的许多运算符,如 -><,与在 GitHub Enterprise Cloud 上搜索时的格式相同。 有关详细信息,请参阅“关于在 GitHub 上搜索”。

注意:审核日志列出了由影响企业的活动触发的事件 审核日志将 Git 事件保留 7 天。

默认情况下,仅显示过去三个月的事件。 若要查看较旧的事件,必须使用 created 参数指定日期范围。 有关详细信息,请参阅“了解搜索语法”。

搜索查询筛选器

筛选器说明
Yesterday's activity在过去一天中创建的所有操作。
Enterprise account managementbusiness 类别中的所有操作。
Organization membership邀请新用户加入组织时的所有操作。
Team management与团队管理相关的所有操作。
- 从团队添加或删除用户帐户或存储库时
- 当团队维护者被提升或降级时
- 删除团队时
Repository management用于存储库管理的所有操作。
- 创建或删除存储库时
- 更改存储库可见性时
- 从存储库添加或删除团队时
Billing updates有关企业如何支付 GitHub 以及计费电子邮件地址更改时如何付费的所有操作。
Hook activity用于 Webhook 和预接收挂钩的所有操作。
Security management有关 SSH 密钥、部署密钥、安全密钥、2FA 和 SAML 单一登录凭据授权以及存储库漏洞警报的所有操作。

搜索查询语法

你可以用一个或多个 key:value 对(以 AND/OR 逻辑运算符分隔)构成一个搜索查询。 例如,要查看自 2017 年初开始影响存储库 octocat/Spoon-Knife 的所有操作:

repo:"octocat/Spoon-Knife" AND created:>=2017-01-01

可以在搜索查询中使用的 key:value 对包括:

密钥
action已审核操作的名称。
actor发起操作的用户帐户的名称。
created操作发生时间。
country操作者执行操作时所在的国家/地区名称。
country_code操作者执行操作时所在的国家/地区的双字母短代码。
hashed_token用于对操作进行身份验证的令牌(如有,请参阅“标识由访问令牌执行的审核日志事件”)。
ip操作者的 IP 地址。
operation与操作相对应的操作类型。 操作类型有 createaccessmodifyremoveauthenticationtransferrestore
repository包含发生操作的存储库之所有者的名称(例如 octocat/octo-repo)。
user受操作影响的用户的名称。

要查看按类别分组的操作,还可以将操作限定符用作 key:value 对。 有关详细信息,请参阅“基于执行的操作进行搜索”。

有关企业审核日志中的操作的完整列表,请参阅“企业的审核日志事件”。

搜索审核日志

基于操作搜索

使用 operation 限定符将操作限制为特定类型的操作。 例如:

  • operation:access 查找访问过资源的所有事件。
  • operation:authentication 查找执行过身份验证事件的所有事件。
  • operation:create 查找创建过资源的所有事件。
  • operation:modify 查找修改过现有资源的所有事件。
  • operation:remove 查找删除过现有资源的所有事件。
  • operation:restore 查找还原过现有资源的所有事件。
  • operation:transfer 查找传输过现有资源的所有事件。

基于仓库搜索

使用 repo 限定符将操作限制到特定存储库。 例如:

  • repo:my-org/our-repo 查找 my-org 组织中 our-repo 存储库发生的所有事件。
  • repo:my-org/our-repo repo:my-org/another-repo 查找 my-org 组织中 our-repoanother-repo 存储库发生的所有事件。
  • -repo:my-org/not-this-repo 排除 my-org 组织中 not-this-repo 存储库发生的所有事件。

请注意,repo 限定符必须包含帐户名;仅搜索 repo:our-repo 无效。

基于用户搜索

actor 限定符可将事件范围限于执行操作的人员。 例如:

  • actor:octocat 查找 octocat 执行的所有事件。
  • actor:octocat actor:hubot 查找 octocathubot 执行的所有事件。
  • -actor:hubot 排除 hubot 执行的所有事件。

请注意,只能使用 GitHub Enterprise Cloud 用户名,而不是个人的真实姓名。

基于执行的操作搜索

要搜索特定事件,请在查询中使用 action 限定符。 例如:

  • action:team 查找分组在团队类别中的所有事件。
  • -action:hook 排除 Webhook 类别中的所有事件。

每个类别都有一组可进行过滤的关联操作。 例如:

  • action:team.create 查找创建团队的所有事件。
  • -action:hook.events_changed 排除已更改 Webhook 上事件的所有事件。

可在企业审核日志中找到的操作按以下类别分组:

类别名称说明
account包含与组织帐户相关的活动。
advisory_credit包含与 GitHub Advisory Database 中安全通告的贡献者积分相关的活动。 有关详细信息,请参阅“关于存储库安全公告”。
artifact包含与 GitHub Actions 工作流运行工件相关的活动。
audit_log_streaming包含与企业帐户中组织的流式审核日志相关的活动。
billing包含与组织计费相关的活动。
business包含与企业的业务设置相关的活动。
business_advanced_security包含与企业中的 GitHub Advanced Security 相关的活动。 有关详细信息,请参阅“管理企业的 GitHub Advanced Security 功能”。
business_secret_scanning包含与企业中的 secret scanning 相关的活动。 有关详细信息,请参阅“管理企业的 GitHub Advanced Security 功能”。
business_secret_scanning_automatic_validity_checks包含与 secret scanning 自动有效性检查启用和禁用相关的活动。 有关详细信息,请参阅“管理企业的 GitHub Advanced Security 功能”。
business_secret_scanning_custom_pattern包含与企业中 secret scanning 的自定义模式相关的活动。
business_secret_scanning_custom_pattern_push_protection包含与企业中 secret scanning 的自定义模式推送保护相关的活动。 有关详细信息,请参阅“为机密扫描定义自定义模式”。
business_secret_scanning_push_protection包含与企业中 secret scanning 的推送保护功能相关的活动。 有关详细信息,请参阅“管理企业的 GitHub Advanced Security 功能”。
business_secret_scanning_push_protection_custom_message包含与在企业中触发推送保护时显示的自定义消息相关的活动。 有关详细信息,请参阅“管理企业的 GitHub Advanced Security 功能”。
checks包含与检查套件和运行相关的活动。
codespaces包含与组织的 codespaces 相关的活动。
commit_comment包含与更新或删除提交评论相关的活动。
dependabot_alerts包含现有存储库中 Dependabot alerts 的组织级配置活动。 有关详细信息,请参阅“关于 Dependabot 警报”。
dependabot_alerts_new_repos包含组织新建存储库中 Dependabot alerts 的组织级配置活动。
dependabot_repository_access包含与允许 Dependabot 访问组织中哪些专用存储库相关的活动。
dependabot_security_updates包含现有存储库中 Dependabot security updates 的组织级配置活动。 有关详细信息,请参阅“配置 Dependabot 安全更新”。
dependabot_security_updates_new_repos包含组织新建存储库中 Dependabot security updates 的组织级配置活动。
dependency_graph包含存储库依赖项关系图的组织级配置活动。 有关详细信息,请参阅“关于依赖关系图”。
dependency_graph_new_repos包含组织新建存储库的组织级配置活动。
dotcom_connection包含与 GitHub Connect 相关的活动。
enterprise包含与企业设置相关的活动。
enterprise_domain包含与已验证的企业域相关的活动。
enterprise_installation包含与和 GitHub Connect 企业连接关联的 GitHub Apps 相关的活动。
environment包含与 GitHub Actions 环境相关的活动。
hook包含与 Webhook 相关的活动。
integration包含与帐户中的集成相关的活动。
integration_installation包含与帐户中安装的集成相关的活动。
integration_installation_request包含与组织成员请求所有者批准在组织中使用的集成相关的活动。
ip_allow_list包含与为组织启用或禁用 IP 允许列表相关的活动。
ip_allow_list_entry包含与为组织创建、删除和编辑 IP 允许列表条目相关的活动。
issue包含与固定、转移或删除存储库中问题相关的活动。
issue_comment包含与固定、转移或删除问题评论相关的活动。
issues包含与为组织启用或禁用问题创建相关的活动。
marketplace_agreement_signature包含与签署 GitHub Marketplace 开发者协议相关的活动。
marketplace_listing包含与 GitHub Marketplace 中列出的应用相关的活动。
members_can_create_pages包含与管理组织存储库的 GitHub Pages 站点发布相关的活动。 有关详细信息,请参阅“管理组织的 GitHub Pages 站点发布”。
members_can_create_private_pages包含与管理组织存储库的专用 GitHub Pages 站点发布相关的活动。
members_can_create_public_pages包含与管理组织存储库的公共 GitHub Pages 站点发布相关的活动。
members_can_delete_repos包含与为组织启用或禁用存储库创建相关的活动。
members_can_view_dependency_insights包含允许组织成员查看依赖项见解的组织级配置活动。
migration包含与将数据从源位置(例如 GitHub.com 组织或 GitHub Enterprise Server 实例)传输到目标 GitHub Enterprise Server 实例相关的活动__ __。
oauth_access包含与 OAuth 访问令牌相关的活动。
oauth_application包含与 OAuth apps 相关的活动。
oauth_authorization包含与授权 OAuth apps 相关的活动。
org包含与组织成员身份相关的活动。
org_credential_authorization包含与授权凭据以用于 SAML 单一登录相关的活动。
org_secret_scanning_automatic_validity_checks包含与组织中 secret scanning 自动有效性检查启用和禁用相关的活动。 有关详细信息,请参阅“管理组织的安全和分析设置”。
org_secret_scanning_custom_pattern包含与组织中 secret scanning 的自定义模式相关的活动。 有关详细信息,请参阅“为机密扫描定义自定义模式”。
organization_default_label包含与组织中存储库的默认标签相关的活动。
organization_domain包含与已验证组织域相关的活动。
organization_projects_change包含与企业中组织范围的项目(经典)相关的活动。
pages_protected_domain包含与 GitHub Pages 的已验证自定义域相关的活动。
payment_method包含与组织如何支付 GitHub 相关的活动。
prebuild_configuration包含与 GitHub Codespaces 的预生成配置相关的活动。
private_repository_forking包含与允许存储库、组织或企业的专用和内部存储库分支相关的活动。
profile_picture包含与组织的配置文件图片相关的活动。
project包含与项目相关的活动。
project_field包含与项目中的字段创建和删除相关的活动。
project_view包含与项目中的视图创建和删除相关的活动。
protected_branch包含与受保护分支相关的活动。
public_key包含与 SSH 密钥和部署密钥相关的活动。
pull_request包含与拉取请求评审相关的活动。
pull_request_review包含与拉取请求评审相关的活动。
pull_request_review_comment包含与拉取请求评审评论相关的活动。
repo包含与组织拥有的存储库相关的活动。
repository_advisory包含与 GitHub Advisory Database 中的安全通告相关的存储库级活动。 有关详细信息,请参阅“关于存储库安全公告”。
repository_content_analysis包含与为专用存储库启用或禁用数据使用相关的活动。 有关详细信息,请参阅“管理存储库的安全和分析设置”。
repository_dependency_graph包含与为专用存储库启用或禁用依赖项关系图相关的存储库级活动。 有关详细信息,请参阅“关于依赖关系图”。
repository_image包含与存储库映像相关的活动。
repository_invitation包含与邀请加入存储库相关的活动。
repository_projects_change包含与为存储库或组织中的所有存储库启用项目相关的活动。
repository_secret_scanning包含与 secret scanning 相关的存储库级活动。 有关详细信息,请参阅“关于机密扫描”。
repository_secret_scanning_automatic_validity_checks包含与存储库中 secret scanning 自动有效性检查启用和禁用相关的活动。 有关详细信息,请参阅“为存储库配置机密扫描”。
repository_secret_scanning_custom_pattern包含与存储库中的 secret scanning 自定义模式相关的活动。 有关详细信息,请参阅“为机密扫描定义自定义模式”。
repository_secret_scanning_custom_pattern_push_protection包含与存储库中 secret scanning 的自定义模式推送保护相关的活动。 有关详细信息,请参阅“为机密扫描定义自定义模式”。
repository_secret_scanning_push_protection包含与存储库中的 secret scanning 推送保护功能相关的活动。 有关详细信息,请参阅“存储库和组织的推送保护”。
repository_visibility_change包含与允许组织成员更改组织的存储库可见性相关的活动。
repository_vulnerability_alert包含与 Dependabot alerts 相关的活动。
repository_vulnerability_alerts包含 Dependabot alerts 的存储库级配置活动。
required_status_check包含与受保护分支所需的状态检查相关的活动。
restrict_notification_delivery包含与将电子邮件通知限制为企业的已批准或已验证域相关的活动。
role包含与自定义存储库角色相关的活动。
secret_scanning包含现有存储库中 secret scanning 的组织级配置活动。 有关详细信息,请参阅“关于机密扫描”。
secret_scanning_new_repos包含组织中创建的新存储库的 secret scanning 的组织级配置活动。
security_key包含与安全密钥注册和删除相关的活动。
sponsors包含与赞助按钮相关的事件(请参阅“在仓库中显示赞助者按钮”)。
ssh_certificate_authority包含与组织或企业中的 SSH 证书颁发机构相关的活动。
ssh_certificate_requirement包含与要求成员使用 SSH 证书访问组织资源相关的活动。
staff包含与执行操作的站点管理员相关的活动。
team包含与组织中的团队相关的活动。
user包含与企业或组织中的用户相关的活动。
user_license包含与占用企业许可席位并身为企业成员的用户相关的活动。
workflows包含与 GitHub Actions 工作流相关的活动。

基于操作时间搜索

使用 created 限定符可以根据事件发生的时间筛选审核日志中的事件。

日期格式必须遵循 ISO8601 标准,即 YYYY-MM-DD(年-月-日)。 也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以按小时、分钟和秒进行搜索。 即 T,随后是 HH:MM:SS(时-分-秒)和 UTC 时差 (+00:00)。

搜索日期时,可以使用大于、小于和范围限定符来进一步筛选结果。 有关详细信息,请参阅“了解搜索语法”。

例如:

  • created:2014-07-08 查找 2014 年 7 月 8 日发生的所有事件。
  • created:>=2014-07-08 查找 2014 年 7 月 8 日当天或之后发生的所有事件。
  • created:<=2014-07-08 查找 2014 年 7 月 8 日当天或之前发生的所有事件。
  • created:2014-07-01..2014-07-31 查找 2014 年 7 月发生的所有事件。

基于位置搜索

使用限定符 country,可以根据原始国家/地区筛选审核日志中的事件。 你可以使用国家/地区的两字母短代码或完整名称。 名称中包含空格的国家/地区需要加引号。 例如:

  • country:de 查找在德国发生的所有事件。
  • country:Mexico 查找在墨西哥发生的所有事件。
  • country:"United States" 查找在美国发生的所有事件。

根据执行操作的令牌进行搜索

使用 hashed_token 限定符根据执行操作的令牌进行搜索。 必须先生成 SHA-256 哈希,然后才能搜索令牌。 有关详细信息,请参阅“标识由访问令牌执行的审核日志事件”。