Skip to main content

Searching the audit log for your enterprise

You can search an extensive list of audited actions in your enterprise.

Who can use this feature

Enterprise owners and site administrators can search the audit log.

About search for the enterprise audit log

You can search your enterprise audit log directly from the user interface by using the Filters dropdown, or by typing a search query.

Search query

For more information about viewing your enterprise audit log, see "Accessing the audit log for your enterprise."

Nota: Los eventos de Git no se incluyen en los resultados de la búsqueda.

You can also use the API to retrieve audit log events. For more information, see "Using the audit log API for your enterprise."

You cannot search for entries using text. You can, however, construct search queries using a variety of filters. Many operators used when querying the log, such as -, >, or <, match the same format as searching across GitHub Enterprise Server. For more information, see "Searching on GitHub."

Note: El registro de auditoría muestra los eventos que desencadenan las actividades que afectan a la empresa. Los registros de auditoría de GitHub Enterprise Server se conservan indefinidamente, a menos que un propietario de la empresa haya configurado un período de retención diferente. Para más información, consulta "Configuración del registro de auditoría para la empresa".

De forma predeterminada, solo se muestran los eventos de los últimos tres meses. Para ver eventos anteriores, debe especificar un intervalo de fechas con el parámetro created. Para más información, vea "Descripción de la sintaxis de búsqueda".

Search query filters

FilterDescription
Yesterday's activityAll actions created in the past day.
Enterprise account managementAll actions in the business category.
Organization membershipAll actions for when a new user was invited to join an organization.
Team managementAll actions related to team management.
- When a user account or repository was added or removed from a team
- When a team maintainer was promoted or demoted
- When a team was deleted
Repository managementAll actions for repository management.
- When a repository was created or deleted
- When the repository visibility was changed
- When a team was added or removed from a repository
Hook activityAll actions for webhooks and pre-receive hooks.
Security managementAll actions concerning SSH keys, deploy keys, security keys, 2FA, and SAML single sign-on credential authorization, and vulnerability alerts for repositories.

Search query syntax

You can compose a search query from one or more key:value pairs, separated by AND/OR logical operators. For example, to see all actions that have affected the repository octocat/Spoon-Knife since the beginning of 2017:

repo:"octocat/Spoon-Knife" AND created:>=2017-01-01

The key:value pairs that can be used in a search query are:

KeyValue
actor_idID of the user account that initiated the action
actorName of the user account that initiated the action
oauth_app_idID of the OAuth application associated with the action
actionName of the audited action
user_idID of the user affected by the action
userName of the user affected by the action
repo_idID of the repository affected by the action (if applicable)
repoName of the repository affected by the action (if applicable)
actor_ipIP address from which the action was initiated
createdTime at which the action occurred. If querying the audit log from the site admin dashboard, use created_at instead
fromView from which the action was initiated
noteMiscellaneous event-specific information (in either plain text or JSON format)
orgName of the organization affected by the action (if applicable)
org_idID of the organization affected by the action (if applicable)
businessName of the enterprise affected by the action (if applicable)
business_idID of the enterprise affected by the action (if applicable)

To see actions grouped by category, you can also use the action qualifier as a key:value pair. For more information, see "Search based on the action performed."

For a full list of actions in your enterprise audit log, see "Audit log actions for your enterprise."

Searching the audit log

Búsqueda basada en la operación

Use el calificador operation para limitar las acciones a tipos específicos de operaciones. Por ejemplo:

  • operation:access busca todos los eventos en los que se ha accedido a un recurso.
  • operation:authentication busca todos los eventos en los que se ha realizado un evento de autenticación.
  • operation:create busca todos los eventos en los que se ha creado un recurso.
  • operation:modify busca todos los eventos en los que se ha modificado un recurso existente.
  • operation:remove busca todos los eventos en los que se ha quitado un recurso existente.
  • operation:restore busca todos los eventos en los que se ha restaurado un recurso existente.
  • operation:transfer busca todos los eventos en los que se ha transferido un recurso existente.

Búsqueda basada en el repositorio

Use el calificador repo para limitar las acciones a un repositorio específico. Por ejemplo:

  • repo:my-org/our-repo busca todos los eventos que se han producido para el repositorio our-repo de la organización my-org.
  • repo:my-org/our-repo repo:my-org/another-repo busca todos los eventos que se han producido para los repositorios our-repo y another-repo de la organización my-org.
  • -repo:my-org/not-this-repo excluye todos los eventos que se han producido para el repositorio not-this-repo de la organización my-org.

Tenga en cuenta que debe incluir el nombre de la cuenta en el calificador repo; la búsqueda de solo repo:our-repo no funcionará.

Búsqueda basada en el usuario

El calificador actor puede incluir eventos en función de quién haya realizado la acción. Por ejemplo:

  • actor:octocat busca todos los eventos realizados por octocat.
  • actor:octocat actor:hubot busca todos los eventos realizados por octocat y hubot.
  • -actor:hubot excluye todos los eventos realizados por hubot.

Ten en cuenta que solo puedes utilizar un nombre de usuario GitHub Enterprise Server, no el nombre real de una persona.

Search based on the action performed

To search for specific events, use the action qualifier in your query. For example:

  • action:team finds all events grouped within the team category.
  • -action:hook excludes all events in the webhook category.

Each category has a set of associated actions that you can filter on. For example:

  • action:team.create finds all events where a team was created.
  • -action:hook.events_changed excludes all events where the events on a webhook have been altered.

Actions that can be found in your enterprise audit log are grouped within the following categories:

| Nombre de la categoría | Descripción |------------------|------------------- | artifact | Contiene las actividades relacionadas con los artefactos de ejecución de flujo de trabajo de GitHub Actions. | business | Contiene las actividades relacionadas con la configuración de negocio de una empresa. | business_secret_scanning_custom_pattern | Contiene actividades relacionadas con patrones personalizados para secret scanning en una empresa. | checks | Contiene las actividades relacionadas con la comprobación de conjuntos de pruebas y ejecuciones. | commit_comment | Contiene las actividades relacionadas con la actualización o eliminación de comentarios de confirmación. | config_entry | Contiene actividades relacionadas con las opciones de configuración. Estos eventos solo son visibles en el registro de auditoría del administrador del sitio. | dependabot_alerts | Contiene actividades de configuración a nivel de organización para Dependabot alerts en los repositorios existentes. Para más información, vea "Acerca de Dependabot alerts". | dependabot_alerts_new_repos | Contiene las actividades de configuración a nivel de organización para las Dependabot alerts en los repositorios nuevos que se crearon en la organización. | dependabot_repository_access | Contiene las actividades relacionadas con los repositorios privados de una organización para los que Dependabot tiene permiso de acceso. | dependabot_security_updates | Contiene actividades de configuración a nivel de organización para Dependabot security updates en los repositorios existentes. Para obtener más información, consulta "Configuración de Dependabot security updates". | dependabot_security_updates_new_repos | Contiene las actividades de configuración a nivel de organización para Dependabot security updates para los repositorios nuevos que se crean en ella. | dependency_graph | Contiene las actividades de configuración a nivel de organización para los gráficos de dependencias de los repositorios. Para obtener más información, consulta "Acerca del gráfico de dependencias". | dependency_graph_new_repos | Contiene las actividades de configuración a nivel de organización para los repositorios nuevos que se crean en ella. | dotcom_connection | Contiene las actividades relacionadas con GitHub Connect. | enterprise | Contiene las actividades relacionadas con la configuración de la empresa. | gist | Contiene actividades relacionadas con Gists. | hook | Contiene las actividades relacionadas con los webhooks. | integration | Contiene las actividades relacionadas con las integraciones de una cuenta. | integration_installation | Contiene las actividades relacionadas con las integraciones instaladas en una cuenta. | integration_installation_request | Contiene las actividades relacionadas con las solicitudes de los miembros de una organización para que los propietarios aprueben integraciones para su uso en la organización. | issue | Contiene las actividades relacionadas con el anclaje, transferencia o eliminación de una propuesta en un repositorio. | issue_comment | Contiene las actividades relacionadas con el anclaje, transferencia o eliminación de comentarios de propuestas. | issues | Contiene las actividades relacionadas con la habilitación o deshabilitación de la creación de propuestas para una organización. | members_can_create_pages | Contiene las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages para repositorios de la organización. Para obtener más información, consulta "Administración de la publicación de sitios de GitHub Pages para la organización". | members_can_create_private_pages | Contiene las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages privados para repositorios de la organización. | members_can_create_public_pages | Contiene las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages públicos para repositorios de la organización. | members_can_delete_repos | Contiene las actividades relacionadas con la habilitación o deshabilitación de la creación de repositorios para una organización. | oauth_access | Contiene las actividades relacionadas con los tokens de acceso de OAuth. | oauth_application | Contiene las actividades relacionadas con las aplicaciones de OAuth. | org | Contiene las actividades relacionadas con la pertenencia a la organización. | org_credential_authorization | Contiene las actividades relacionadas con la autorización de credenciales para su uso con el inicio de sesión único de SAML. | org_secret_scanning_custom_pattern | Contiene las actividades relacionadas con los patrones personalizados para el análisis de secretos de una organización. Para obtener más información, consulta "Definición de patrones personalizados para el análisis de secretos". | org.secret_scanning_push_protection | Contiene las actividades relacionadas con los patrones personalizados de análisis de secretos de una organización. Para obtener más información, consulta "Protección de inserciones para el análisis de secretos". | organization_default_label | Contiene las actividades relacionadas con las etiquetas predeterminadas para los repositorios de una organización. | organization_domain | Contiene las actividades relacionadas con los dominios verificados de una organización. | organization_projects_change | Contiene las actividades relacionadas con los paneles de proyecto de toda la organización de una empresa. | pre_receive_environment | Contiene las actividades relacionadas con los entornos de enlace previo a la recepción. | pre_receive_hook | Contiene las actividades relacionadas con los enlaces previos a la recepción. | private_instance_encryption | Contiene las actividades relacionadas con la habilitación del modo privado para una empresa. | private_repository_forking | Contiene las actividades relacionadas con la habilitación de bifurcaciones de repositorios privados e internos para un repositorio, organización o empresa. | project | Contiene las actividades relacionadas con los paneles de proyecto. | project_field | Contiene las actividades relacionadas con la creación y eliminación de campos en un panel de proyecto. | project_view | Contiene las actividades relacionadas con la creación y eliminación de vistas en un panel de proyecto. | protected_branch | Contiene las actividades relacionadas con las ramas protegidas. | public_key | Contiene las actividades relacionadas con las claves SSH y las claves de implementación. | pull_request | Contiene las actividades relacionadas con las solicitudes de incorporación de cambios. | pull_request_review | Contiene las actividades relacionadas con las revisiones de solicitudes de incorporación de cambios. | pull_request_review_comment | Contiene las actividades relacionadas con los comentarios de revisión de las solicitudes de incorporación de cambios. | repo | Contiene las actividades relacionadas con los repositorios que pertenecen a una organización. | repository_image | Contiene actividades relacionadas con imágenes de un repositorio. | repository_invitation | Contiene actividades relacionadas con invitaciones para unirse a un repositorio. | repository_projects_change | Contiene las actividades relacionadas con la habilitación de proyectos para un repositorio o para todos los repositorios de una organización. | repository_secret_scanning | Contiene las actividades a nivel de repositorio relacionadas con el análisis de secretos. Para obtener más información, consulta "Acerca del análisis de secretos". | repository_secret_scanning_custom_pattern | Contiene las actividades relacionadas con los patrones personalizados de análisis de secretos de un repositorio. Para más información, vea "Definición de patrones personalizados para el análisis de secretos". | repository_secret_scanning_push_protection | Contiene las actividades relacionadas con los patrones personalizados de análisis de secretos de un repositorio. Para obtener más información, consulta "Protección de inserciones para el análisis de secretos". | repository_vulnerability_alert | Contiene las actividades relacionadas con Dependabot alerts. | restrict_notification_delivery | Contiene las actividades relacionadas con la restricción de las notificaciones de correo electrónico en los dominios aprobados o comprobados de una empresa. | role | Contiene las actividades relacionadas con los roles de repositorio personalizados. | secret_scanning | Contiene las actividades de configuración a nivel de organización para el análisis de secretos en los repositorios existentes. Para obtener más información, consulta "Acerca del análisis de secretos". | secret_scanning_new_repos | Contiene las actividades de configuración a nivel de organización para el análisis de secretos para los repositorios nuevos que se crean en ella. | security_key | Contiene las actividades relacionadas con el registro y eliminación de claves de seguridad. | ssh_certificate_authority | Contiene las actividades relacionadas con una autoridad de certificación SSH en una organización o empresa. | ssh_certificate_requirement | Contiene las actividades relacionadas con la necesidad de que los miembros usen certificados SSH para acceder a los recursos de la organización. | staff | Contiene las actividades relacionadas con la realización de una acción por parte de un administrador de sitio. | team | Contiene las actividades relacionadas con los equipos de una organización. | team_discussions | Contiene las actividades relacionadas con la administración de debates de equipo para una organización. | two_factor_authentication | Contiene las actividades relacionadas con la autenticación en dos fases. | user | Contiene las actividades relacionadas con los usuarios de una empresa u organización. | user_license | Contiene las actividades relacionadas con el hecho de que un usuario ocupe un puesto con licencia en una empresa y sea miembro de ella. | workflows | Contiene las actividades relacionadas con los flujos de trabajo de GitHub Actions.

Search based on time of action

Use the created qualifier to filter events in the audit log based on when they occurred.

El formato de fecha debe seguir el estándar ISO8601, que es YYYY-MM-DD (año-mes-día). También puede agregar información de tiempo opcional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Esto es, T, seguido de HH:MM:SS (hora-minutos-segundos) y una diferencia horaria con UTC (+00:00).

Cuando buscas una fecha, puedes utilizar los calificadores de mayor qué, menor qué y rango para filtrar aún más los resultados. Para más información, vea "Descripción de la sintaxis de búsqueda".

For example:

  • created:2014-07-08 finds all events that occurred on July 8th, 2014.
  • created:>=2014-07-08 finds all events that occurred on or after July 8th, 2014.
  • created:<=2014-07-08 finds all events that occurred on or before July 8th, 2014.
  • created:2014-07-01..2014-07-31 finds all events that occurred in the month of July 2014.

Search based on location

Using the qualifier country, you can filter events in the audit log based on the originating country. You can use a country's two-letter short code or full name. Countries with spaces in their name will need to be wrapped in quotation marks. For example:

  • country:de finds all events that occurred in Germany.
  • country:Mexico finds all events that occurred in Mexico.
  • country:"United States" all finds events that occurred in the United States.