About search for the enterprise audit log
You can search your enterprise audit log directly from the user interface by using the Filters dropdown, or by typing a search query.
For more information about viewing your enterprise audit log, see "Accessing the audit log for your enterprise."
You can also use the API to retrieve audit log events. Para obtener más información, consulta la sección "Utilizar la API de bitácora de auditoría para tu empresa".
Nota que no puedes buscar entradas utilizando texto. Sin embargo, puedes construir consultas de búsqueda utilizando una variedad de filtros. Muchos operadores que se utilizan cuando se busca el registro por queries, tales como -
, >
, o <
, empatan con el mismo formato que si se busca con GitHub Enterprise Server. Para obtener más información, consulta la sección "Buscar en GitHub".
Nota: The audit log lists events triggered by activities that affect your enterprise. Audit logs for GitHub Enterprise Server are retained indefinitely.
Predeterminadamente, solo se muestran los eventos de los últimos tres meses. Para ver los eventos más viejos, debes especificar un rango de fechas con el parámetro creado
. Para obtener más información, consulta la sección "Entender la sintaxis de búsqueda".
Search query filters
Filtrar | Descripción |
---|---|
Yesterday's activity | All actions created in the past day. |
Enterprise account management | All actions in the business category. |
Membresía de la organización | All actions for when a new user was invited to join an organization. |
Team management | All actions related to team management. - When a user account or repository was added or removed from a team - When a team maintainer was promoted or demoted - When a team was deleted |
Repository management | All actions for repository management. - When a repository was created or deleted - When the repository visibility was changed - When a team was added or removed from a repository |
Hook activity | All actions for webhooks and pre-receive hooks. |
Security management | All actions concerning SSH keys, deploy keys, security keys, 2FA, and SAML single sign-on credential authorization, and vulnerability alerts for repositories. |
Buscar sintaxis de consultas
You can compose a search query from one or more key:value
pairs, separated by AND/OR logical operators. Por ejemplo, para ver todas las acciones que afectaron el repositorio octocat/Spoon-Knife
desde el inicio de 2017:
repo:"octocat/Spoon-Knife" AND created:>=2017-01-01
The key:value
pairs that can be used in a search query are:
Clave | Valor |
---|---|
actor_id | ID de la cuenta de usuario que inició la acción |
actor (actor) | Nombre de la cuenta de usuario que inició la acción |
oauth_app_id | ID de la aplicación OAuth asociada con la acción |
Acción | Nombre de la acción auditada |
user_id | ID del usuario afectado por la acción |
usuario | Nombre del usuario afectado por la acción |
repo_id | ID del repositorio afectado por la acción (si corresponde) |
repo | Nombre del repositorio afectado por la acción (si corresponde) |
actor_ip | Dirección IP desde donde se inició la acción |
created | Time at which the action occurred. If querying the audit log from the site admin dashboard, use created_at instead |
from | Vista desde donde se inició la acción |
note | Información variada de evento específico (en texto simple o en formato JSON) |
org | Nombre de la organización afectada por la acción (si corresponde) |
org_id | ID de la organización afectada por la acción (si corresponde) |
business | Name of the enterprise affected by the action (if applicable) |
business_id | ID of the enterprise affected by the action (if applicable) |
To see actions grouped by category, you can also use the action qualifier as a key:value
pair. For more information, see "Search based on the action performed."
For a full list of actions in your enterprise audit log, see "Audit log actions for your enterprise."
Buscar el registro de auditoría
Búsqueda basada en la operación
Utiliza el calificador operation
para limitar las acciones en tipos específicos de operaciones. Por ejemplo:
operation:access
encuentra todos los eventos en donde se accedió a un recurso.operation:authentication
encuentra todos los eventos en donde se realizó un evento de autenticación.operation:create
encuentra todos los eventos en donde se creó un recurso.operation:modify
encuentra todos los eventos en donde se modificó un recurso existente.operation:remove
encuentra todos los eventos en donde se eliminó un recurso existente.operation:restore
encuentra todos los eventos en donde se restauró un recurso existente.operation:transfer
encuentra todos los eventos en donde se transfirió un recurso existente.
Búsqueda basada en el repositorio
Utiliza el calificador repo
para limitar las acciones a un repositorio específico. Por ejemplo:
repo:my-org/our-repo
encuentra todos los eventos que ocurrieron para el repositorioour-repo
en la organizaciónmy-org
.repo:my-org/our-repo repo:my-org/another-repo
encuentra todos los eventos que ocurrieron tanto para los repositoriosour-repo
comoanother-repo
en la organizaciónmy-org
.-repo:my-org/not-this-repo
excluye todos los eventos que ocurrieron para el repositorionot-this-repo
en la organizaciónmy-org
.
Nota que debes incluir el nombre de cuenta dentro del calificador repo
; no funcionará si buscas únicamente repo:our-repo
.
Búsqueda basada en el usuario
El calificador actor
puede incluir eventos que se basen en quién realizó la acción. Por ejemplo:
actor:octocat
encuentra todos los eventos realizados poroctocat
.actor:octocat actor:hubot
encuentra todos los eventos realizados tanto poroctocat
como porhubot
.-actor:hubot
excluye todos los eventos realizados porhubot
.
Ten en cuenta que solo puedes utilizar un nombre de usuario GitHub Enterprise Server, no el nombre real de una persona.
Búsqueda basada en la acción realizada
Para buscar eventos específicos, utiliza el calificador action
en tu consulta. Por ejemplo:
action:team
encuentra todos los eventos agrupados dentro de la categoría de equipo.-action:hook
excluye todos los eventos en la categoría de webhook.
Cada categoría tiene un conjunto de acciones asociadas que puedes filtrar. Por ejemplo:
action:team.create
encuentra todos los eventos donde se creó un equipo.-action:hook.events_changed
excluye todos los eventos en que se modificaron los eventos sobre un webhook.
Actions that can be found in your enterprise audit log are grouped within the following categories:
Nombre de la categoría | Descripción |
---|---|
artifact | Contains activities related to GitHub Actions workflow run artifacts. |
business | Contiene actividades relacionadas con los ajustes de negocio para una empresa. |
business | Contiene actividades relacionadas con los ajustes de negocio para una empresa. |
checks | Contains activities related to check suites and runs. |
commit_comment | Contains activities related to updating or deleting commit comments. |
config_entry | Contains activities related to configuration settings. Estos eventos solo se pueden ver en la bitácora de auditoría del administrador de sitio. |
dependency_graph | Contains organization-level configuration activities for dependency graphs for repositories. Para obtener más información, consulta la sección "Acerca de la gráfica de dependencias". |
dotcom_connection | Contains activities related to GitHub Connect. |
gist | Contains activities related to Gists. |
issue | Contains activities related to pinning, transferring, or deleting an issue in a repository. |
members_can_create_pages | Contains activities related to managing the publication of Páginas de GitHub sites for repositories in the organization. Para obtener más información, consulta la sección "Administrar la publicación de sitios de Páginas de GitHub para tu organización". |
members_can_delete_repos | Contains activities related to enabling or disabling repository creation for an organization. |
oauth_access | Contains activities related to OAuth access tokens. |
org | Contains activities related to organization membership. |
org_credential_authorization | Contains activities related to authorizing credentials for use with SAML single sign-on. |
organization_default_label | Contains activities related to default labels for repositories in an organization. |
packages | Contains activities related to Registro del paquete de GitHub. |
pre_receive_environment | Contains activities related to pre-receive hook environments. |
private_instance_encryption | Contains activities related to enabling private mode for an enterprise. |
private_repository_forking | Contains activities related to allowing forks of private and internal repositories, for a repository, organization or enterprise. |
project | Contains activities related to project boards. |
repo | Contains activities related to the repositories owned by an organization. |
repository_image | Contains activities related to images for a repository. |
repository_secret_scanning | Contains repository-level activities related to secret scanning. Para obtener más información, consulta la sección "Acerca del escaneo de secretos". |
repository_vulnerability_alert | Contains activities related to Las alertas del dependabot. |
secret_scanning | Contains organization-level configuration activities for secret scanning in existing repositories. Para obtener más información, consulta la sección "Acerca del escaneo de secretos". |
security_key | Contains activities related to security keys registration and removal. |
ssh_certificate_authority | Contains activities related to a SSH certificate authority in an organization or enterprise. |
staff | Contains activities related to a site admin performing an action. |
two_factor_authentication | Contains activities related to two-factor authentication. |
user | Contains activities related to users in an enterprise or organization. |
user_license | Contains activities related to a user occupying a licensed seat in, and being a member of, an enterprise. |
Búsqueda basada en el momento de la acción
Utiliza el calificador created
para filtrar los eventos en la bitácora de auditoría con base en su fecha de ocurrencia.
El formato de fecha debe seguir el estándar ISO8601, el cual es YYYY-MM-DD
(año-mes-día). También puedes agregar información de tiempo ocpional THH:MM:SS+00:00
después de la fecha, para buscar por hora, minuto y segundo. Se hace agregando T
, seguido de HH:MM:SS
(hora-minutos-segundos), y un intervalo de UTC (+00:00
).
Cuando buscas una fecha, puedes utilizar los calificadores de mayor qué, menor qué y rango para filtrar aún más los resultados. Para obtener más información, consulta la sección "Entender la sintaxis de búsqueda".
Por ejemplo:
created:2014-07-08
encuentra todos los eventos ocurridos el 8 de julio de 2014.created:>=2014-07-08
encuentra todos los eventos ocurridos el 8 de julio de 2014 o después.created:<=2014-07-08
encuentra todos los eventos ocurridos el 8 de julio de 2014 o antes.created:2014-07-01..2014-07-31
encuentra todos los eventos ocurridos en el mes de julio de 2014.
Búsqueda basada en la ubicación
Al utilizar el calificador country
, puedes filtrar los eventos en la bitácora de auditoría con base en el país en donde se originaron. You can use a country's two-letter short code or full name. Countries with spaces in their name will need to be wrapped in quotation marks. Por ejemplo:
country:de
encuentra todos los eventos ocurridos en Alemania.country:Mexico
encuentra todos los eventos ocurridos en México.country:"United States"
encuentra todos los eventos que ocurrieron en Estados Unidos.