Skip to main content

Buscar la bitácora de auditoría para tu empresa

Puedes buscar una lista extensiva de acciones auditadas en tu empresa.

Enterprise owners and site administrators can search the audit log.

Acerca de la búsqueda para la bitácora de auditoría de la empresa

Puedes buscar la bitácora de auditoría de tu empresa directamente desde la interfaz de usuario si utilizas el menú desplegable de Filtros o si tecleas una consulta de búsqueda.

Consulta de búsqueda

Para obtener más información sobre cómo ver la bitácora de auditoría de tu empresa, consulta la sección "Acceder a la bitácora de auditoría para tu empresa".

También puedes utilizar la API para recuperar los eventos de bitácora de auditoría. Para obtener más información, consulta la sección "Utilizar la API de bitácora de auditoría para tu empresa".

You cannot search for entries using text. Sin embargo, puedes construir consultas de búsqueda utilizando una variedad de filtros. Muchos operadores que se utilizan cuando se busca el registro por queries, tales como -, >, o <, empatan con el mismo formato que si se busca con GitHub Enterprise Server. Para obtener más información, consulta la sección "Buscar en GitHub".

Nota: The audit log lists events triggered by activities that affect your enterprise. Audit logs for GitHub Enterprise Server are retained indefinitely.

Predeterminadamente, solo se muestran los eventos de los últimos tres meses. Para ver los eventos más viejos, debes especificar un rango de fechas con el parámetro creado. Para obtener más información, consulta la sección "Entender la sintaxis de búsqueda".

Filtros de consulta de búsqueda

FiltrarDescripción
Actividad de ayerTodas las acciones que se crearon en el día anterior.
Adminsitración de cuenta empresarialTodas las acciones en la categoría business.
Membresía de la organizaciónTodas las acciones para cuando se haya invitado a un usuario nuevo a una organización.
Administración de equipoTodas las acciones relacionadas con la administración de equipos.
- Cuando una cuenta de usuario o repositorio se agrega o elimina de un equipo
- Cuando se promueve o degrada a un mantenedor de equipo
- Cuando se borra a un equipo
Administración de repositoriosTodas las acciones para la administración de repositorios.
- Cuando se crea o borra un repositorio
- Cuando se cambia la visibilidad del repositorio
- Cuando se agrega o elimina a un equipo del repositorio
Actividad de ganchosTodas las acciones para los webhooks y ganchos de prerecepción.
Administración de seguridadTodas las acciones que tienen que ver con llaves SSH, llaves de despliegue, llaves de seguridad, 2FA, y autorización de credenciales para inicio de sesión único de SAML y alertas de vulnerabilidades para repositorios.

Buscar sintaxis de consultas

Puedes componer una consulta de búsqueda desde uno o más pares key:value, separados por operadores lógicos AND/OR. Por ejemplo, para ver todas las acciones que afectaron el repositorio octocat/Spoon-Knife desde el inicio de 2017:

repo:"octocat/Spoon-Knife" AND created:>=2017-01-01

Los pares key:value que pueden utilizarse en una consulta de búsqueda son:

ClaveValor
actor_idID de la cuenta de usuario que inició la acción
actor (actor)Nombre de la cuenta de usuario que inició la acción
oauth_app_idID de la aplicación OAuth asociada con la acción
AcciónNombre de la acción auditada
user_idID del usuario afectado por la acción
usuarioNombre del usuario afectado por la acción
repo_idID del repositorio afectado por la acción (si corresponde)
repoNombre del repositorio afectado por la acción (si corresponde)
actor_ipDirección IP desde donde se inició la acción
createdHora en la que ocurrió la acción. Si se está consultando la bitácora de auditoría desde el tablero administrativo del proyecto, utiliza created_at en su lugar
fromVista desde donde se inició la acción
noteInformación variada de evento específico (en texto simple o en formato JSON)
orgNombre de la organización afectada por la acción (si corresponde)
org_idID de la organización afectada por la acción (si corresponde)
businessNombre de la empresa afectada por la acción (si aplica)
business_idID de la empresa afectada por la acción (si aplica)

Para ver las acciones agrupadas por categoría, también puedes utilizar el calificador de acción como un par key:value. Para obtener más información, consulta la sección "Búsqueda basada en la acción realizada".

Para ver una lista completa de acciones en la bitácora de auditoría de tu empresa, consulta la sección "Acciones de la bitácora de auditoría para tu empresa".

Buscar el registro de auditoría

Búsqueda basada en la operación

Utiliza el calificador operation para limitar las acciones en tipos específicos de operaciones. Por ejemplo:

  • operation:access encuentra todos los eventos en donde se accedió a un recurso.
  • operation:authentication encuentra todos los eventos en donde se realizó un evento de autenticación.
  • operation:create encuentra todos los eventos en donde se creó un recurso.
  • operation:modify encuentra todos los eventos en donde se modificó un recurso existente.
  • operation:remove encuentra todos los eventos en donde se eliminó un recurso existente.
  • operation:restore encuentra todos los eventos en donde se restauró un recurso existente.
  • operation:transfer encuentra todos los eventos en donde se transfirió un recurso existente.

Búsqueda basada en el repositorio

Utiliza el calificador repo para limitar las acciones a un repositorio específico. Por ejemplo:

  • repo:my-org/our-repo encuentra todos los eventos que ocurrieron para el repositorio our-repo en la organización my-org.
  • repo:my-org/our-repo repo:my-org/another-repo encuentra todos los eventos que ocurrieron tanto para los repositorios our-repo como another-repo en la organización my-org.
  • -repo:my-org/not-this-repo excluye todos los eventos que ocurrieron para el repositorio not-this-repo en la organización my-org.

Nota que debes incluir el nombre de cuenta dentro del calificador repo; no funcionará si buscas únicamente repo:our-repo.

Búsqueda basada en el usuario

El calificador actor puede incluir eventos que se basen en quién realizó la acción. Por ejemplo:

  • actor:octocat encuentra todos los eventos realizados por octocat.
  • actor:octocat actor:hubot encuentra todos los eventos realizados tanto por octocat como por hubot.
  • -actor:hubot excluye todos los eventos realizados por hubot.

Ten en cuenta que solo puedes utilizar un nombre de usuario GitHub Enterprise Server, no el nombre real de una persona.

Búsqueda basada en la acción realizada

Para buscar eventos específicos, utiliza el calificador action en tu consulta. Por ejemplo:

  • action:team encuentra todos los eventos agrupados dentro de la categoría de equipo.
  • -action:hook excluye todos los eventos en la categoría de webhook.

Cada categoría tiene un conjunto de acciones asociadas que puedes filtrar. Por ejemplo:

  • action:team.create encuentra todos los eventos donde se creó un equipo.
  • -action:hook.events_changed excluye todos los eventos en que se modificaron los eventos sobre un webhook.

Las acciones que se pueden encontrar en la bitácora de auditoría de tu empresa se agrupan dentro de las siguientes categorías:

Nombre de la categoríaDescripción
artifactContains activities related to GitHub Actions workflow run artifacts.
businessContiene actividades relacionadas con los ajustes de negocio para una empresa.
businessContiene actividades relacionadas con los ajustes de negocio para una empresa.
checksContains activities related to check suites and runs.
commit_commentContains activities related to updating or deleting commit comments.
config_entryContains activities related to configuration settings. Estos eventos solo se pueden ver en la bitácora de auditoría del administrador de sitio.
dependabot_alertsContains organization-level configuration activities for Las alertas del dependabot in existing repositories. Para obtener más información, consulta la sección "Acerca de las Las alertas del dependabot".
dependabot_security_updatesContains organization-level configuration activities for Actualizaciones de seguridad del dependabot in existing repositories. Para obtener más información, consulta la sección "Configurar las Actualizaciones de seguridad del dependabot".
dependency_graphContains organization-level configuration activities for dependency graphs for repositories. Para obtener más información, consulta la sección "Acerca de la gráfica de dependencias".
dotcom_connectionContains activities related to GitHub Connect.
gistContiene actividades relacionadas con Gists.
issueContains activities related to pinning, transferring, or deleting an issue in a repository.
members_can_create_pagesContains activities related to managing the publication of Páginas de GitHub sites for repositories in the organization. Para obtener más información, consulta la sección "Administrar la publicación de sitios de Páginas de GitHub para tu organización".
members_can_delete_reposContains activities related to enabling or disabling repository creation for an organization.
oauth_accessContains activities related to OAuth access tokens.
orgContains activities related to organization membership.
org_credential_authorizationContains activities related to authorizing credentials for use with SAML single sign-on.
organization_default_labelContains activities related to default labels for repositories in an organization.
organization_domainContains activities related to verified organization domains.
pre_receive_environmentContains activities related to pre-receive hook environments.
private_instance_encryptionContains activities related to enabling private mode for an enterprise.
private_repository_forkingContains activities related to allowing forks of private and internal repositories, for a repository, organization or enterprise.
projectContains activities related to project boards.
repository_imageContains activities related to images for a repository.
repository_secret_scanningContains repository-level activities related to secret scanning. Para obtener más información, consulta la sección "Acerca del escaneo de secretos".
repository_vulnerability_alertContains activities related to Las alertas del dependabot.
restrict_notification_deliveryContains activities related to the restriction of email notifications to approved or verified domains for an enterprise.
secret_scanningContains organization-level configuration activities for secret scanning in existing repositories. Para obtener más información, consulta la sección "Acerca del escaneo de secretos".
security_keyContains activities related to security keys registration and removal.
ssh_certificate_authorityContains activities related to a SSH certificate authority in an organization or enterprise.
staffContains activities related to a site admin performing an action.
two_factor_authenticationContains activities related to two-factor authentication.
userContains activities related to users in an enterprise or organization.
user_licenseContains activities related to a user occupying a licensed seat in, and being a member of, an enterprise.
workflowsContains activities related to GitHub Actions workflows.

Búsqueda basada en el momento de la acción

Utiliza el calificador created para filtrar los eventos en la bitácora de auditoría con base en su fecha de ocurrencia.

El formato de fecha debe seguir el estándar ISO8601, el cual es YYYY-MM-DD (año-mes-día). También puedes agregar información de tiempo ocpional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Se hace agregando T, seguido de HH:MM:SS (hora-minutos-segundos), y un intervalo de UTC (+00:00).

Cuando buscas una fecha, puedes utilizar los calificadores de mayor qué, menor qué y rango para filtrar aún más los resultados. Para obtener más información, consulta la sección "Entender la sintaxis de búsqueda".

Por ejemplo:

  • created:2014-07-08 encuentra todos los eventos ocurridos el 8 de julio de 2014.
  • created:>=2014-07-08 encuentra todos los eventos ocurridos el 8 de julio de 2014 o después.
  • created:<=2014-07-08 encuentra todos los eventos ocurridos el 8 de julio de 2014 o antes.
  • created:2014-07-01..2014-07-31 encuentra todos los eventos ocurridos en el mes de julio de 2014.

Búsqueda basada en la ubicación

Al utilizar el calificador country, puedes filtrar los eventos en la bitácora de auditoría con base en el país en donde se originaron. Puedes utilizar el código corto de dos letras de un país o el nombre completo. Los países con espacios en sus nombres tendrán que encerrarse entre comillas. Por ejemplo:

  • country:de encuentra todos los eventos ocurridos en Alemania.
  • country:Mexico encuentra todos los eventos ocurridos en México.
  • country:"United States" encuentra todos los eventos que ocurrieron en Estados Unidos.