Acceder al registro de auditoría
La bitácora de auditoría lista eventos que activan las actividades que afectan tu organización dentro del mes actual y los seis meses anteriores. Solo los propietarios pueden acceder al registro de auditoría de una organización.
De forma predeterminada, solo se muestran los eventos de los últimos tres meses. Para ver eventos anteriores, debe especificar un intervalo de fechas con el parámetro created. Para obtener más información, vea «Entender la sintaxis de búsqueda».
-
En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your organizations.
-
Junto a la organización, haga clic en Settings.
-
En la sección "Archivos" de la barra lateral, haz clic en Registros y, después, en Registro de auditoría.
Buscar el registro de auditoría
El nombre de cada entrada del registro de auditoría se compone de una categoría de eventos, seguida de un tipo de operación. Por ejemplo, la entrada repo.create hace referencia a la operación create de la categoría repo.
Cada entrada del registro de auditoría muestra información vigente acerca de un evento, como:
- La empresa u organización en la que se ha realizado una acción
- El usuario (actor) que ha realizado la acción
- El usuario afectado por la acción
- En qué repositorio se realizó una acción
- La acción que se realizó
- En qué país se realizó la acción
- Fecha y hora en que se produjo la acción
- Opcionalmente, la dirección IP de origen del usuario (actor) que realizó la acción
Nota que no puedes buscar entradas utilizando texto. Sin embargo, puedes construir consultas de búsqueda utilizando una variedad de filtros. Muchos operadores que se utilizan cuando se consulta el registro, tales como -, > o <, coinciden con el mismo formato de búsqueda en GitHub Enterprise Cloud. Para obtener más información, vea «Acerca de la búsqueda en GitHub».
Búsqueda basada en la operación
Use el calificador operation para limitar las acciones a tipos específicos de operaciones. Por ejemplo:
operation:accessbusca todos los eventos en los que se ha accedido a un recurso.operation:authenticationbusca todos los eventos en los que se ha realizado un evento de autenticación.operation:createbusca todos los eventos en los que se ha creado un recurso.operation:modifybusca todos los eventos en los que se ha modificado un recurso existente.operation:removebusca todos los eventos en los que se ha quitado un recurso existente.operation:restorebusca todos los eventos en los que se ha restaurado un recurso existente.operation:transferbusca todos los eventos en los que se ha transferido un recurso existente.
Búsqueda basada en el repositorio
Use el calificador repo para limitar las acciones a un repositorio específico. Por ejemplo:
repo:my-org/our-repobusca todos los eventos que se han producido para el repositorioour-repode la organizaciónmy-org.repo:my-org/our-repo repo:my-org/another-repobusca todos los eventos que se han producido para los repositoriosour-repoyanother-repode la organizaciónmy-org.-repo:my-org/not-this-repoexcluye todos los eventos que se han producido para el repositorionot-this-repode la organizaciónmy-org.
Tenga en cuenta que debe incluir el nombre de la cuenta en el calificador repo; la búsqueda de solo repo:our-repo no funcionará.
Búsqueda basada en el usuario
El calificador actor puede incluir eventos en función de quién haya realizado la acción. Por ejemplo:
actor:octocatbusca todos los eventos realizados poroctocat.actor:octocat actor:hubotbusca todos los eventos realizados poroctocatohubot.-actor:hubotexcluye todos los eventos realizados porhubot.
Ten en cuenta que solo puedes utilizar un nombre de usuario GitHub Enterprise Cloud, no el nombre real de una persona.
Búsqueda basada en la acción realizada
Para buscar eventos específicos, usa el calificador action en la consulta. Las acciones enumeradas en el registro de auditoría se agrupan en diferentes categorías. Para obtener la lista completa de eventos de cada categoría, consulta "Eventos de registro de auditoría de la organización".
| Nombre de categoría | Descripción |------------------|------------------- | account | Contiene todas las actividades relacionadas con la cuenta de la organización. | advisory_credit | Contiene todas las actividades relacionadas con la acreditación de un colaborador para un aviso de seguridad en GitHub Advisory Database. Para obtener más información, consulta "About repository security advisories". | auto_approve_personal_access_token_requests | Contiene actividades relacionadas con la directiva de aprobación de la organización para fine-grained personal access token. Para obtener más información, consulta "Establecimiento de una directiva de token de acceso personal en la organización". | billing | Contiene todas las actividades relacionadas con la facturación de la organización. | business | Contiene actividades relacionadas con la configuración del negocio de una empresa. | | codespaces | Contiene las todas actividades relacionadas con los codespaces de la organización. |
| dependabot_alerts | Contiene actividades de configuración a nivel de organización para Dependabot alerts en los repositorios existentes. Para obtener más información, vea «Acerca de las alertas Dependabot».
| dependabot_alerts_new_repos | Contiene las actividades de configuración de nivel de organización para Dependabot alerts en los repositorios nuevos creados en la organización.
| dependabot_security_updates | Contiene las actividades de configuración de nivel de organización para Dependabot security updates en los repositorios existentes. Para obtener más información, vea «Configuración de actualizaciones de seguridad de Dependabot».
| dependabot_security_updates_new_repos | Contiene las actividades de configuración de nivel de organización para Dependabot security updates para los repositorios nuevos creados en la organización. | dependency_graph | Contiene las actividades de configuración de nivel de organización para los gráficos de dependencias de los repositorios. Para obtener más información, vea «Acerca del gráfico de dependencias».
| dependency_graph_new_repos | Contiene actividades de configuración de nivel de organización para los nuevos repositorios creados en la organización.
| discussion_post | Contiene todas las actividades relacionadas con las discusiones publicadas en una página de equipo.
| discussion_post_reply | Contiene todas las actividades relacionadas con las respuestas a los debates publicados en una página de equipo.
| enterprise | Contiene las actividades relacionadas con la configuración empresarial. |
| hook | Contiene todas las actividades relacionadas con los webhooks.
| integration_installation | Contiene las actividades relacionadas con las integraciones instaladas en una cuenta. |
| integration_installation_request | Contiene todas las actividades relacionadas con las solicitudes de los miembros de la organización para que los propietarios aprueben las integraciones para el uso en la organización. |
| ip_allow_list | Contiene las actividades relacionadas con la habilitación o deshabilitación de la lista de direcciones IP permitidas de una organización.
| ip_allow_list_entry | Contiene las actividades relacionadas con la creación, eliminación y edición de una entrada de lista de direcciones IP permitidas de una organización.
| issue | Contiene las actividades relacionadas con la eliminación de una incidencia. | marketplace_agreement_signature | Contiene todas las actividades relacionadas con la firma del Acuerdo del desarrollador de GitHub Marketplace.
| marketplace_listing | Contiene todas las actividades relacionadas con la enumeración de aplicaciones en GitHub Marketplace. | members_can_create_pages | Contiene todas las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages para los repositorios de la organización. Para obtener más información, vea «Administrar la publicación de sitios de GitHub Pages de tu organización». |
| org | Contiene las actividades relacionadas con la pertenencia a la organización.
| org_credential_authorization | Contiene todas las actividades relacionadas con la autorización de credenciales para el uso con el inicio de sesión único SAML. | org_secret_scanning_automatic_validity_checks | Contiene las actividades de nivel de organización relacionada con habilitación y deshabilitación de comprobaciones de validez automáticas de secret scanning. Para obtener más información, vea «Administrar la configuración de seguridad y análisis de su organización». | org_secret_scanning_custom_pattern | Contiene actividades de nivel de organización relacionadas con patrones personalizados de secret scanning. Para obtener más información, vea «Definición de patrones personalizados para el examen de secretos».
| organization_default_label | Contiene todas las actividades relacionadas con las etiquetas predeterminadas para los repositorios de tu organización.
| oauth_application | Contiene todas las actividades relacionadas con OAuth apps.
| packages | Contiene todas las actividades relacionadas con GitHub Packages. | payment_method | Contiene todas las actividades relacionadas con la manera en que la organización paga GitHub. | personal_access_token | Contiene actividades relacionadas con fine-grained personal access token de la organización. Para más información, consulta "Administración de tokens de acceso personal".
| profile_picture| Contiene todas las actividades relacionadas con la imagen de perfil de la organización.
| project | Contiene todas las actividades relacionadas con los paneles de proyecto.
| protected_branch | Contiene todas las actividades relacionadas con las ramas protegidas.
| repo | Contiene las actividades relacionadas con los repositorios que son propiedad de la organización. | repository_advisory | Contiene las actividades de nivel de repositorio relacionadas con los avisos de seguridad en GitHub Advisory Database. Para obtener más información, vea «About repository security advisories».
| repository_content_analysis | Contiene todas las actividades relacionadas con la habilitación o deshabilitación del uso de datos para un repositorio privado. Para obtener más información, consulta "Administración de la configuración de seguridad y análisis para el repositorio." | repository_dependency_graph | Contiene actividades de nivel de repositorio relacionadas con la habilitación o deshabilitación del gráfico de dependencias para un repositorio private . Para obtener más información, consulta "Acerca del gráfico de dependencias". | repository_secret_scanning | Contiene las actividades de nivel de repositorio relacionadas con secret scanning. Para obtener más información, vea «Acerca del examen de secretos». | repository_secret_scanning_automatic_validity_checks | Contiene actividades de nivel de repositorio relacionadas con la habilitación o deshabilitación de comprobaciones automáticas de validez de secret scanning. Para obtener más información, vea «Administración de la configuración de seguridad y análisis para el repositorio». | repository_secret_scanning_custom_pattern | Contiene actividades relacionadas con patrones personalizados para secret scanning. Para obtener más información, vea «Definición de patrones personalizados para el examen de secretos». | repository_secret_scanning_custom_pattern_push_protection| Contiene actividades de nivel de repositorio relacionadas con patrones personalizados de secret scanning. Para obtener más información, consulta "Definición de patrones personalizados para el examen de secretos". | repository_secret_scanning_push_protection | Contiene actividades de repositorio relacionadas con la protección contra el envío de cambios de secret scanning. Para obtener más información, vea «Protección contra el envío de cambios para repositorios y organizaciones».
| repository_vulnerability_alert | Contiene todas las actividades relacionadas con Dependabot alerts . | repository_vulnerability_alerts | Contiene las actividades de nivel de repositorio para Dependabot alerts. | role | Contiene todas las actividades relacionadas con roles de repositorio personalizados. | secret_scanning | Contiene las actividades de configuración de secret scanning en los repositorios existentes. Para obtener más información, vea «Acerca del examen de secretos».
| secret_scanning_new_repos | Contiene las actividades de configuración a nivel de organización para secret scanning para los repositorios nuevos que se crearon en la organización.
| team | Contiene todas las actividades relacionadas con los equipos de tu organización.
| workflows | Contiene actividades relacionadas con los flujos de trabajo de GitHub Actions.
Puedes buscar conjuntos específicos de acciones utilizando estos términos. Por ejemplo:
action:teambusca todos los eventos agrupados dentro de la categoría de equipo.-action:hookexcluye todos los eventos de la categoría de webhook.
Cada categoría tiene un conjunto de acciones asociadas que puedes filtrar. Por ejemplo:
action:team.createbusca todos los eventos en los que se ha creado un equipo.-action:hook.events_changedexcluye todos los eventos en los que se han modificado los eventos de un webhook.
Búsqueda basada en el momento de la acción
Use el calificador created para filtrar los eventos del registro de auditoría en función de cuándo se hayan producido. El formato de fecha debe seguir el estándar ISO8601, que es YYYY-MM-DD (año-mes-día). También puede agregar información de tiempo opcional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Esto es, T, seguido de HH:MM:SS (hora-minutos-segundos) y una diferencia horaria con UTC (+00:00).
Cuando buscas una fecha, puedes utilizar los calificadores de mayor qué, menor qué y rango para filtrar aún más los resultados. Para obtener más información, vea «Entender la sintaxis de búsqueda».
Por ejemplo:
created:2014-07-08busca todos los eventos que se han producido el 8 de julio de 2014.created:>=2014-07-08busca todos los eventos que se han producido el 8 de julio de 2014 o después.created:<=2014-07-08busca todos los eventos que se han producido el 8 de julio de 2014 o antes.created:2014-07-01..2014-07-31busca todos los eventos que se han producido durante el mes de julio de 2014.
Nota: El registro de auditoría contiene datos para el mes actual y todos los días de los seis meses anteriores.
Búsqueda basada en la ubicación
Con el calificador country, puede filtrar los eventos del registro de auditoría en función del país de origen. Puedes utilizar un código corto de dos letras del país o el nombre completo. Ten presente que los países con espacios en sus nombres se deben poner entre comillas. Por ejemplo:
country:debusca todos los eventos que se han producido en Alemania.country:Mexicobusca todos los eventos que se han producido en México.country:"United States"busca todos los eventos que se han producido en Estados Unidos.
Exportar el registro de auditoría
Puedes exportar el registro como datos JSON o un archivo de valores separados por comas (CSV) con el menú desplegable Exportar.
Para filtrar los resultados de la exportación, busca por uno o más de estos calificadores admitidos antes de usar el menú desplegable Exportar.
| Calificador: | Valor de ejemplo |
|---|---|
action | team.create |
actor | octocat |
user | codertocat |
org | octo-org |
repo | octo-org/documentation |
created | 2019-06-01 |
Nota: Al exportar eventos de Git, no se incluyen los eventos que se iniciaron a través del explorador web, la API REST o GraphQL API. Por ejemplo, cuando un usuario combina una solicitud de incorporación de cambios en el explorador web, los cambios se insertan en la rama base, pero el evento de Git de esa inserción no se incluye en la exportación.
Después de exportar el registro, verá los siguientes valores y claves en el archivo resultante.
| Clave | Valor de ejemplo |
|---|---|
action | team.create |
actor | octocat |
user | codertocat |
actor_location.country_code | US |
org | octo-org |
repo | octo-org/documentation |
created_at | 1429548104000 (Los registros horarios muestran la hora desde Epoch con milisegundos). |
data.email | octocat@nowhere.com |
data.hook_id | 245 |
data.events | ["issues", "issue_comment", "pull_request", "pull_request_review_comment"] |
data.events_were | ["push", "pull_request", "issues"] |
data.target_login | octocat |
data.old_user | hubot |
data.team | octo-org/engineering |
Utilizar la API de bitácoras de auditoría
Puedes interactuar con el registro de auditoría mediante GraphQL API o la API REST. Puedes usar el ámbito read:audit_log para acceder al registro de auditoría a través de las API.
Nota: Para utilizar la API del registro de auditoría, la organización debe usar GitHub Enterprise Cloud. Para más información sobre cómo probar GitHub Enterprise Cloud de forma gratuita, vea "Configuración de una versión de prueba de GitHub Enterprise Cloud".
Utilizar la API de GraphQL
Para garantizar la protección de la propiedad intelectual y que se mantiene el cumplimiento de la organización, puedes usar la API de GraphQL del registro de auditoría para el mantenimiento de copias de los datos del registro de auditoría y la supervisión: - Acceso a la configuración de la organización o el repositorio
- Cambios en los permisos
- Usuarios agregados o quitados de una organización, un repositorio o un equipo
- Usuarios ascendidos a administradores
- Cambios a los permisos de GitHub App
- Solicitudes de API (deben estar habilitadas)
Ten en cuenta que no puedes recuperar los eventos de Git mediante GraphQL API. Para recuperar eventos de Git, utiliza mejor la API de REST. Para obtener más información, consulta "Acciones de la categoría git".
La respuesta de GraphQL puede incluir datos de hasta 90 a 120 días.
Por ejemplo, puedes hacer una solicitud de GraphQL para ver todos los miembros nuevos de la organización agregados a tu organización. Para obtener más información, consulta el "Interfaces".
Mediante la API de REST
Para garantizar la protección de la propiedad intelectual y que se mantiene el cumplimiento de la organización, puedes usar la API de REST del registro de auditoría para el mantenimiento de copias de los datos del registro de auditoría y la supervisión: - Acceso a la configuración de la organización o el repositorio
- Cambios en los permisos
- Usuarios agregados o quitados de una organización, un repositorio o un equipo
- Usuarios ascendidos a administradores
- Cambios a los permisos de GitHub App
- Solicitudes de API (deben estar habilitadas)
- Eventos de Git, como la clonación, la captura y la inserción de
La bitácora de auditoría retiene eventos de Git por siete días. Esto es más corto que otros eventos de bitácora de auditoría, los cuales se pueden retener por hasta siete meses.
De manera predeterminada, solo se devuelven los eventos de los últimos tres meses. Para incluir eventos anteriores, debes especificar una marca de tiempo en la consulta.
Para obtener más información sobre la API de REST del registro de auditoría, consulta "Las organizaciones".