Skip to main content

Durchsuchen des Überwachungsprotokolls für dein Unternehmen

Du kannst eine umfangreiche Liste der überwachten Aktionen in deinem Unternehmen durchsuchen.

Wer kann dieses Feature verwenden?

Enterprise owners can search the audit log.

Informationen zur Suche beim Überwachungsprotokoll für dein Unternehmen

Du kannst das Überwachungsprotokoll für dein Unternehmens direkt über die Benutzeroberfläche mithilfe der Dropdownliste Filter oder durch Eingabe einer Suchabfrage durchsuchen.

Weitere Informationen zum Anzeigen des Überwachungsprotokolls für dein Unternehmen findest du unter Zugreifen auf das Überwachungsprotokoll für dein Unternehmen.

Note

Git-Ereignisse sind nicht in den Suchergebnissen enthalten.

Außerdem kannst du mithilfe der API Überwachungsprotokollereignisse abrufen. Weitere Informationen finden Sie unter Verwenden der Überwachungsprotokoll-API für dein Unternehmen.

Du kannst nicht mit Text nach Einträgen suchen. Du kannst jedoch Suchabfragen mit den verschiedensten Filtern erstellen. Viele Operatoren, die beim Abfragen des Protokolls verwendet werden, z. B. -, > oder <, entsprechen demselben Format wie beim Durchsuchen von GitHub Enterprise Cloud. Weitere Informationen finden Sie unter Informationen zur Suche auf GitHub.

Note

Im Überwachungsprotokoll werden Ereignisse aufgelistet, die durch Aktivitäten ausgelöst werden, die sich auf dein Unternehmen auswirken innerhalb der letzten 180 Tage. Das Überwachungsprotokoll behält Git-Ereignisse sieben Tage lang bei.

Standardmäßig werden nur Ereignisse aus den letzten drei Monaten angezeigt. Um ältere Ereignisse anzuzeigen, musst du einen Datumsbereich mit dem created-Parameter angeben. Weitere Informationen findest du unter Grundlagen der Suchsyntax.

Suchabfragefilter

FilternBESCHREIBUNG
Yesterday's activityAlle Aktionen, die am letzten Tag erstellt wurden
Enterprise account managementAlle Aktionen in der Kategorie business
Organization membershipAlle Aktionen für den Zeitpunkt, an dem ein neuer Benutzer zum Beitritt zu einer Organisation eingeladen wurde
Team managementAlle Aktionen im Zusammenhang mit der Teamverwaltung
– Wenn ein Benutzerkonto oder Repository einem Team hinzugefügt oder daraus entfernt wurde
– Wenn ein Teambetreuer höhergestuft oder herabgestuft wurde
– Wenn ein Team gelöscht wurde
Repository managementAlle Aktionen für die Repositoryverwaltung
– Wenn ein Repository erstellt oder gelöscht wurde
– Wenn die Sichtbarkeit des Repositorys geändert wurde
– Wenn ein Team zu einem Repository hinzugefügt oder daraus entfernt wurde
Billing updatesAlle Aktionen in Bezug darauf, wie das Unternehmen für GitHub bezahlt und wann die E-Mail-Adresse für die Abrechnung geändert wurde.
Hook activityAlle Aktionen für Webhooks und Pre-Receive-Hooks
Security managementAlle Aktionen in Bezug auf SSH-Schlüssel, Bereitstellungsschlüssel, Sicherheitsschlüssel, Zweistufige Authentifizierung (2FA) und Autorisierung von SAML Single Sign-On (SSO)-Anmeldeinformationen sowie Sicherheitsrisikowarnungen für Repositorys

Suchabfragesyntax

Du kannst eine Suchabfrage aus einem oder mehreren key:value-Paaren erstellen. So kannst du beispielsweise alle Aktionen anzeigen, die sich seit Anfang 2017 auf das Repository octocat/Spoon-Knife ausgewirkt haben:

repo:"octocat/Spoon-Knife" created:>=2017-01-01

Die folgenden key:value-Paare können in einer Suchabfrage verwendet werden:

SchlüsselWert
actionName der überwachten Aktion
actorName des Benutzerkontos, mit dem die Aktion initiiert wurde
createdZeitpunkt, zu dem die Aktion erfolgt ist.
countryName des Landes, in dem sich der Akteur bei der Ausführung der Aktion befand.
country_codeKurzcode aus zwei Buchstaben des Landes, in dem sich der Akteur bei der Ausführung der Aktion befand.
hashed_tokenDas zum Authentifizieren für die Aktion verwendete Token – falls zutreffend, findest du weitere Informationen unter Identifizieren von Überwachungsprotokollereignissen, die von einem Zugriffstoken ausgeführt werden.
ipIP-Adresse des Akteurs.
operationDer der Aktion entsprechende Vorgangstyp. Vorgangstypen sind create, access, modify, remove, authentication, transfer und restore.
repositoryName und Besitzer des Repositorys, in dem die Aktion erfolgt ist (z. B. octocat/octo-repo).
userName des von der Aktion betroffenen Benutzers.

Wenn du Aktionen nach Kategorie gruppiert anzeigen möchtest, kannst du auch den Aktionsqualifizierer als key:value-Paar verwenden. Weitere Informationen findest du unter Suchen basierend auf der ausgeführten Aktion.

Eine vollständige Liste der Aktionen im Überwachungsprotokoll deines Unternehmens findest du unter Überwachungsprotokollereignisse für Ihre Enterprise.

Auditprotokoll durchsuchen

Vorgangsbasierte Suche

Verwende den Qualifizierer operation, um Aktionen für spezifische Typen von Vorgängen zu beschränken. Beispiel:

  • operation:access findet alle Ereignisse, bei denen auf eine Ressource zugegriffen wurde.
  • operation:authentication findet alle Ereignisse, bei denen ein Authentifizierungsereignis ausgeführt wurde.
  • operation:create findet alle Ereignisse, bei denen eine Ressource erstellt wurde.
  • operation:modify findet alle Ereignisse, bei denen eine vorhandene Ressource geändert wurde.
  • operation:remove findet alle Ereignisse, bei denen eine vorhandene Ressource entfernt wurde.
  • operation:restore findet alle Ereignisse, bei denen eine vorhandene Ressource wiederhergestellt wurde.
  • operation:transfer findet alle Ereignisse, bei denen eine vorhandene Ressource übertragen wurde.

Suche basierend auf Repository

Verwende den Qualifizierer repo, um Aktionen auf ein spezifisches Repository zu beschränken. Zum Beispiel:

  • repo:my-org/our-repo sucht alle Ereignisse, die für das our-repo-Repository in der my-org-Organisation aufgetreten sind.
  • repo:my-org/our-repo repo:my-org/another-repo sucht alle Ereignisse, die für die our-repo- und another-repo-Repositorys in der my-org-Organisation aufgetreten sind.
  • -repo:my-org/not-this-repo schließt alle Ereignisse aus, die für das not-this-repo-Repository in der my-org-Organisation aufgetreten sind.

Sie müssen den Namen Ihrer Organisation in den repo-Qualifizierer einschließen. Es ist nicht möglich, nur nach repo:our-repo zu suchen.

Suche nach Benutzer

Der actor-Qualifizierer kann den Umfang von Ereignissen basierend auf dem Ausführenden der Aktion festlegen. Beispiel:

  • actor:octocat findet alle Ereignisse, die von octocat durchgeführt wurden.
  • actor:octocat actor:hubot findet alle Ereignisse, die von octocat oder hubot durchgeführt wurden.
  • -actor:hubot schließt alle Ereignisse aus, die von hubot durchgeführt wurden.

Beachte, dass du nur den in GitHub Enterprise Cloud verwendeten Benutzernamen nutzen kannst, nicht den wirklichen Namen eines Benutzers.

Suche nach der Art der durchgeführten Aktion

Verwende für die Suche nach bestimmten Ereignissen in deiner Abfrage den Qualifizierer action. Beispiel:

  • action:team sucht alle Ereignisse, die in der Teamkategorie gruppiert sind.
  • -action:hook schließt alle Ereignisse in der Webhookkategorie aus.

Bei jeder Kategorie gibt es eine Gruppe von zugeordneten Aktionen, nach denen du filtern kannst. Beispiel:

  • action:team.create sucht alle Ereignisse, bei denen ein Team erstellt wurde.
  • -action:hook.events_changed schließt alle Ereignisse aus, bei denen die Ereignisse in einem Webhook geändert wurden.

Aktionen, die im Überwachungsprotokoll deines Unternehmens zu finden sind, werden in die folgenden Kategorien gruppiert:

KategorienameBeschreibung
accountEnthält Aktivitäten im Zusammenhang mit einem Organisationskonto.
advisory_creditEnthält Aktivitäten im Zusammenhang mit Angaben dazu, von welchen Mitwirkenden Inhalte für Sicherheitsempfehlungen in der GitHub Advisory Database stammen. Weitere Informationen finden Sie unter Informationen zu Sicherheitsempfehlungen für Repositorys.
artifactEnthält Aktivitäten im Zusammenhang mit GitHub Actions-Artefakten für Workflowausführungen.
audit_log_streamingEnthält Aktivitäten im Zusammenhang mit Streamingüberwachungsprotokollen für Organisationen in einem Unternehmenskonto.
billingUmfasst Aktivitäten im Zusammenhang mit der Abrechnung einer Organisation.
businessUmfasst Aktivitäten im Zusammenhang mit Geschäftseinstellungen für ein Unternehmen.
business_advanced_securityEnthält Aktivitäten im Zusammenhang mit GitHub Advanced Security in einem Unternehmen. Weitere Informationen finden Sie unter Verwalten von GitHub Advanced Security-Features für dein Unternehmen.
business_secret_scanningEnthält Aktivitäten im Zusammenhang mit secret scanning in einem Unternehmen. Weitere Informationen finden Sie unter Verwalten von GitHub Advanced Security-Features für dein Unternehmen.
business_secret_scanning_automatic_validity_checksEnthält Aktivitäten im Zusammenhang mit dem Aktivieren oder Deaktivieren der automatischen Gültigkeitsprüfung für secret scanning in einem Unternehmen. Weitere Informationen finden Sie unter Verwalten von GitHub Advanced Security-Features für dein Unternehmen.
business_secret_scanning_custom_patternEnthält Aktivitäten im Zusammenhang mit angepassten Mustern für secret scanning in einem Unternehmen.
business_secret_scanning_custom_pattern_push_protectionEnthält Aktivitäten im Zusammenhang mit dem Push-Schutz eines benutzerdefinierten Musters für secret scanning in einem Unternehmen. Weitere Informationen finden Sie unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
business_secret_scanning_push_protectionEnthält Aktivitäten im Zusammenhang mit dem Push-Schutz eines Features für secret scanning in einem Unternehmen. Weitere Informationen finden Sie unter Verwalten von GitHub Advanced Security-Features für dein Unternehmen.
business_secret_scanning_push_protection_custom_messageEnthält Aktivitäten im Zusammenhang mit der benutzerdefinierten Nachricht, die angezeigt wird, wenn der Pushschutz in einem Unternehmen ausgelöst wird. Weitere Informationen finden Sie unter Verwalten von GitHub Advanced Security-Features für dein Unternehmen.
checksEnthält Aktivitäten im Zusammenhang mit Überprüfungssammlungen und -ausführungen.
codespacesUmfasst Aktivitäten im Zusammenhang mit den Codespaces einer Organisation.
commit_commentEnthält Aktivitäten im Zusammenhang mit dem Aktualisieren oder Löschen von Commitkommentaren.
dependabot_alertsEnthält Konfigurationsaktivitäten auf Organisationsebene für Dependabot alerts in vorhandenen Repositorys. Weitere Informationen finden Sie unter Informationen zu Dependabot-Warnungen.
dependabot_alerts_new_reposEnthält Konfigurationsaktivitäten auf Organisationsebene für Dependabot alerts in neuen Repositorys, die in der Organisation erstellt wurden.
dependabot_repository_accessEnthält Aktivitäten im Zusammenhang mit den privaten Repositorys in einer Organisation, auf die Dependabot zugreifen darf.
dependabot_security_updatesEnthält Konfigurationsaktivitäten auf Organisationsebene für Dependabot security updates in vorhandenen Repositorys. Weitere Informationen finden Sie unter Konfigurieren von Dependabot-Sicherheitsupdates.
dependabot_security_updates_new_reposEnthält Konfigurationsaktivitäten auf Organisationsebene für Dependabot security updates für neue Repositorys, die in der Organisation erstellt wurden.
dependency_graphEnthält Konfigurationsaktivitäten auf Organisationsebene für Abhängigkeitsdiagramme für Repositorys. Weitere Informationen finden Sie unter Informationen zum Abhängigkeitsdiagramm.
dependency_graph_new_reposEnthält Konfigurationsaktivitäten auf Organisationsebene für neue Repositorys, die in der Organisation erstellt wurden.
dotcom_connectionEnthält Aktivitäten im Zusammenhang mit GitHub Connect.
enterpriseEnthält Aktivitäten im Zusammenhang mit Unternehmenseinstellungen.
enterprise_domainEnthält Aktivitäten im Zusammenhang mit verifizieren Unternehmensdomains.
enterprise_installationEnthält Aktivitäten im Zusammenhang mit GitHub Apps, die einer GitHub Connect-Unternehmensverbindung zugeordnet sind.
environmentUmfasst Aktivitäten im Zusammenhang mit GitHub Actions-Umgebungen.
hookEnthält Aktivitäten im Zusammenhang mit Webhooks.
integrationEnthält Aktivitäten im Zusammenhang mit Integrationen in einem Konto.
integration_installationEnthält Aktivitäten im Zusammenhang mit Integrationen, die in einem Konto installiert sind.
integration_installation_requestEnthält Aktivitäten im Zusammenhang mit Anforderungen, die von Organisationsmitgliedern an Besitzer*innen gesendet werden, um Integrationen zur Verwendung innerhalb der Organisation genehmigen zu lassen.
ip_allow_listEnthält Aktivitäten im Zusammenhang mit dem Aktivieren oder Deaktivieren der Liste zugelassener IP-Adressen für eine Organisation.
ip_allow_list_entryEnthält Aktivitäten im Zusammenhang mit dem Erstellen, Löschen und Bearbeiten eines IP-Zulassungslisteneintrags für eine Organisation.
issueEnthält Aktivitäten im Zusammenhang mit dem Anheften, Übertragen oder Löschen eines Issues in einem Repository.
issue_commentEnthält Aktivitäten im Zusammenhang mit dem Anheften, Übertragen oder Löschen von Issuekommentaren.
issuesEnthält Aktivitäten im Zusammenhang mit dem Aktivieren oder Deaktivieren der Issueerstellung für eine Organisation.
marketplace_agreement_signatureUmfasst Aktivitäten in Verbindung mit der Signierung der GitHub Marketplace-Entwicklervereinbarung.
marketplace_listingEnthält Aktivitäten im Zusammenhang mit dem Auflisten von Apps in GitHub Marketplace.
members_can_create_pagesEnthält Aktivitäten zum Verwalten der Veröffentlichung von GitHub Pages-Websites für Repositorys in der Organisation. Weitere Informationen finden Sie unter Verwalten der Veröffentlichung von GitHub Pages-Websites für deine Organisation.
members_can_create_private_pagesEnthält Aktivitäten zum Verwalten der Veröffentlichung privater GitHub Pages-Websites für Repositorys in der Organisation.
members_can_create_public_pagesEnthält Aktivitäten zum Verwalten der Veröffentlichung öffentlicher GitHub Pages-Websites für Repositorys in der Organisation.
members_can_delete_reposEnthält Aktivitäten im Zusammenhang mit der Aktivierung oder Deaktivierung der Repositoryerstellung für eine Organisation.
members_can_view_dependency_insightsEnthält Konfigurationsaktivitäten auf Organisationsebene, mit denen Organisationsmitglieder Abhängigkeitseinblicke anzeigen können.
migrationEnthält Aktivitäten zum Übertragen von Daten von einem _Quell_speicherort (z. B. einer GitHub.com-Organisation oder einer GitHub Enterprise Server-Instanz) an eine GitHub Enterprise Server-_Ziel_instanz.
oauth_accessEnthält Aktivitäten im Zusammenhang mit OAuth-Zugriffstoken.
oauth_applicationUmfasst Aktivitäten im Zusammenhang mit OAuth apps.
oauth_authorizationUmfasst Aktivitäten im Zusammenhang mit der Autorisierung von OAuth apps.
orgEnthält Aktivitäten im Zusammenhang mit der Organisationsmitgliedschaft.
org_credential_authorizationEnthält Aktivitäten im Zusammenhang mit der Autorisierung von Anmeldeinformationen für die Verwendung mit SAML Single Sign-On.
org_secret_scanning_automatic_validity_checksEnthält Aktivitäten auf Unternehmensebene im Zusammenhang mit dem Aktivieren und Deaktivieren der automatischen Gültigkeitsprüfung für secret scanning. Weitere Informationen finden Sie unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation.
org_secret_scanning_custom_patternUmfasst Aktivitäten im Zusammenhang mit benutzerdefinierten Mustern für die secret scanning in einer Organization. Weitere Informationen finden Sie unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
organization_default_labelEnthält Aktivitäten im Zusammenhang mit Standardbezeichnungen für Repositorys in einer Organisation.
organization_domainEnthält Aktivitäten im Zusammenhang mit verifizieren Organisationsdomains.
organization_projects_changeEnthält Aktivitäten im Zusammenhang mit organisationsweiten Projekte (klassisch) in einem Unternehmen.
pages_protected_domainEnthält Aktivitäten im Zusammenhang mit überprüften benutzerdefinierten Domänen für GitHub Pages.
payment_methodEnthält Aktivitäten im Zusammenhang mit der Zahlungsweise einer Organisation für GitHub.
prebuild_configurationEnthält Aktivitäten im Zusammenhang mit Prebuildkonfigurationen für GitHub Codespaces.
private_repository_forkingEnthält Aktivitäten im Zusammenhang mit der Zulassung von Forks privater und interner Repositorys für ein Repository, eine Organisation oder ein Unternehmen.
profile_pictureEnthält Aktivitäten im Zusammenhang mit dem Profilbild einer Organisation.
projectEnthält Aktivitäten im Zusammenhang mit Projekten.
project_fieldEnthält Aktivitäten im Zusammenhang mit der Felderstellung und -löschung in einem Projekt.
project_viewEnthält Aktivitäten im Zusammenhang mit der Ansichtserstellung und -löschung in einem Projekt.
protected_branchEnthält Aktivitäten im Zusammenhang mit geschützten Branches.
public_keyEnthält Aktivitäten im Zusammenhang mit SSH-Schlüsseln und Bereitstellungsschlüsseln.
pull_requestEnthält Aktivitäten im Zusammenhang mit Pull Requests.
pull_request_reviewEnthält Aktivitäten im Zusammenhang mit Pull Request-Überprüfungen.
pull_request_review_commentEnthält Aktivitäten im Zusammenhang mit Pull Request-Überprüfungskommentaren.
repoEnthält Aktivitäten im Zusammenhang mit den Repositorys, die einer Organisation gehören.
repository_advisoryEnthält Aktivitäten auf Repositoryebene im Zusammenhang mit Sicherheitshinweisen in der GitHub Advisory Database. Weitere Informationen finden Sie unter Informationen zu Sicherheitsempfehlungen für Repositorys.
repository_content_analysisEnthält Aktivitäten im Zusammenhang mit der Aktivierung oder Deaktivierung der Datenverwendung für ein privates Repository. Weitere Informationen finden Sie unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.
repository_dependency_graphEnthält Aktivitäten auf Repositoryebene im Zusammenhang mit dem Aktivieren oder Deaktivieren des Abhängigkeitsdiagramms für ein privates Repository. Weitere Informationen finden Sie unter Informationen zum Abhängigkeitsdiagramm.
repository_imageEnthält Aktivitäten im Zusammenhang mit Bildern für ein Repository.
repository_invitationEnthält Aktivitäten im Zusammenhang mit Einladungen zum Beitreten zu einem Repository.
repository_projects_changeEnthält Aktivitäten im Zusammenhang mit der Aktivierung von Projekten für ein Repository oder für alle Repositorys in einer Organisation.
repository_secret_scanningEnthält Aktivitäten auf Repositoryebene im Zusammenhang mit der secret scanning. Weitere Informationen finden Sie unter Informationen zur Geheimnisüberprüfung.
repository_secret_scanning_automatic_validity_checksEnthält Aktivitäten im Zusammenhang mit dem Aktivieren oder Deaktivieren der automatischen Gültigkeitsprüfung für secret scanning in einem Repository. Weitere Informationen finden Sie unter Aktivieren der Überprüfung auf geheime Schlüssel für Ihr Repository.
repository_secret_scanning_custom_patternEnthält Aktivitäten im Zusammenhang mit secret scanning benutzerdefinierten Mustern in einem Repository. Weitere Informationen finden Sie unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
repository_secret_scanning_custom_pattern_push_protectionEnthält Aktivitäten im Zusammenhang mit dem Push-Schutz eines benutzerdefinierten Musters für secret scanning in einem Repository. Weitere Informationen finden Sie unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.
repository_secret_scanning_push_protectionEnthält Aktivitäten im Zusammenhang mit dem Push-Schutz eines Features für secret scanning in einem Repository. Weitere Informationen finden Sie unter Informationen zum Pushschutz.
repository_visibility_changeEnthält Aktivitäten, mit denen Organisationsmitglieder die Sichtbarkeit von Repositorys für die Organisation ändern können.
repository_vulnerability_alertEnthält Aktivitäten im Zusammenhang mit Dependabot alerts.
repository_vulnerability_alertsEnthält Konfigurationsaktivitäten auf Repositoryebene für Dependabot alerts.
required_status_checkEnthält Aktivitäten im Zusammenhang mit den erforderlichen Statusüberprüfungen für geschützte Branches.
restrict_notification_deliveryEnthält Aktivitäten im Zusammenhang mit der Einschränkung von E-Mail-Benachrichtigungen an genehmigte oder überprüfte Domänen für ein Unternehmen.
roleEnthält Aktivitäten imZusammenhang mit benutzerdefinierten Repositoryrollen.
secret_scanningEnthält Konfigurationsaktivitäten auf Organisationsebene für secret scanning in bestehenden Repositorys. Weitere Informationen finden Sie unter Informationen zur Geheimnisüberprüfung.
secret_scanning_new_reposEnthält Konfigurationsaktivitäten auf Organisationsebene für secret scanning für neue in der Organisation erstellte Repositorys.
security_keyEnthält Aktivitäten im Zusammenhang mit der Registrierung und Entfernung von Sicherheitsschlüsseln.
sponsorsEnthält Ereignisse im Zusammenhang mit Sponsorschaltflächen, siehe Sponsorenschaltfläche in deinem Repository anzeigen
ssh_certificate_authorityEnthält Aktivitäten im Zusammenhang mit einer SSH-Zertifizierungsstelle in einer Organisation oder einem Unternehmen.
ssh_certificate_requirementEnthält Aktivitäten, mit denen festgelegt wird, dass Mitglieder SSH-Zertifikate verwenden müssen, um auf Organisationsressourcen zuzugreifen.
sso_redirectEnthält Aktivitäten im Zusammenhang mit dem automatischen Umleiten von Benutzern zur Anmeldung, siehe Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen.
staffEnthält Aktivitäten im Zusammenhang mit einem Websiteadministrator, der eine Aktion ausführt.
teamEnthält Aktivitäten im Zusammenhang mit Teams in einer Organisation.
team_sync_tenantEnthält Aktivitäten im Zusammenhang mit der Teamsynchronisierung mit einem IdP für ein Unternehmen oder eine Organisation.
userEnthält Aktivitäten im Zusammenhang mit Benutzer*innen in einem Unternehmen oder einer Organisation.
user_licenseEnthält Aktivitäten im Zusammenhang mit Benutzer*innen, die einen lizenzierten Arbeitsplatz in einem Unternehmen belegen, dessen Mitglied sie sind.
workflowsUmfasst Aktivitäten im Zusammenhang mit GitHub Actions-Workflows.

Suche nach dem Zeitpunkt der Aktion

Verwende den Qualifizierer created, um Ereignisse im Überwachungsprotokoll basierend auf dem Zeitpunkt, an dem sie aufgetreten sind, zu filtern.

Die Datumsformatierung muss dem ISO8601-Standard entsprechen: YYYY-MM-DD (Jahr-Monat-Tag). Du kannst nach dem Datum auch optionale Zeitinformationen im Format THH:MM:SS+00:00 hinzufügen, um nach Stunde, Minute und Sekunde zu suchen. Das heißt, T, gefolgt von HH:MM:SS (Stunden-Minuten-Sekunden) und einem UTC-Offset (+00:00).

Wenn du nach einem Datum suchst, kannst du „größer als“, „kleiner als“ und Bereichsqualifizierer verwenden, um Ergebnisse weiter zu filtern. Weitere Informationen finden Sie unter Grundlagen der Suchsyntax.

Beispiel:

  • created:2014-07-08 sucht alle Ereignisse, die am 8. Juli 2014 aufgetreten sind.
  • created:>=2014-07-08 sucht alle Ereignisse, die am oder nach dem 8. Juli 2014 aufgetreten sind.
  • created:<=2014-07-08 sucht alle Ereignisse, die am oder vor dem 8. Juli 2014 aufgetreten sind.
  • created:2014-07-01..2014-07-31 sucht alle Ereignisse, die im Juli 2014 aufgetreten sind.

Suche nach Standort

Mithilfe des Qualifizierers country kannst du Ereignisse im Überwachungsprotokoll basierend auf dem Ursprungsland filtern. Dazu kannst du den Kurzcode aus zwei Buchstaben oder den vollständigen Namen eines Landes verwenden. Ländernamen mit Leerzeichen müssen in Anführungszeichen eingeschlossen werden. Beispiel:

  • country:de sucht alle Ereignisse, die in Deutschland aufgetreten sind.
  • country:Mexico sucht alle Ereignisse, die in Mexiko aufgetreten sind.
  • country:"United States" sucht alle Ereignisse, die in den USA aufgetreten sind.

Suchen basierend auf dem Token, das die Aktion ausgeführt hat

Verwende den Qualifizierer hashed_token, um basierend auf dem Token zu suchen, das die Aktion ausgeführt hat. Damit du nach einem Token suchen kannst, musst du einen SHA-256-Hash generieren. Weitere Informationen finden Sie unter Identifizieren von Überwachungsprotokollereignissen, die von einem Zugriffstoken ausgeführt werden.