Skip to main content

Búsqueda en el registro de auditoría de la empresa

Puedes buscar una lista extensa de acciones auditadas en tu empresa.

Who can use this feature

Enterprise owners and site administrators can search the audit log.

Acerca de la búsqueda en el registro de auditoría de empresa

Puede buscar en el registro de auditoría de la empresa directamente desde la interfaz de usuario mediante la lista desplegable Filtros o si escribe una consulta de búsqueda.

Consulta de búsqueda

Para más información sobre cómo ver el registro de auditoría de la empresa, vea "Acceso al registro de auditoría de la empresa".

Nota: Los eventos de Git no se incluyen en los resultados de la búsqueda.

También puede usar la API para recuperar eventos de registro de auditoría. Para más información, vea "Uso de la API de registro de auditoría para la empresa".

No puedes buscar entradas mediante texto. Sin embargo, puedes construir consultas de búsqueda utilizando una variedad de filtros. Muchos operadores que se utilizan cuando se consulta el registro, tales como -, > o <, coinciden con el mismo formato de búsqueda en GitHub Enterprise Server. Para más información, vea "Búsqueda en GitHub".

Nota: El registro de auditoría muestra los eventos que desencadenan las actividades que afectan a la empresa. Los registros de auditoría de GitHub Enterprise Server se conservan indefinidamente, a menos que un propietario de la empresa haya configurado un período de retención diferente. Para más información, consulta "Configuración del registro de auditoría para la empresa".

De forma predeterminada, solo se muestran los eventos de los últimos tres meses. Para ver eventos anteriores, debe especificar un intervalo de fechas con el parámetro created. Para más información, vea "Descripción de la sintaxis de búsqueda".

Filtros de consulta de búsqueda

FilterDescripción
Yesterday's activityTodas las acciones creadas en el último día.
Enterprise account managementTodas las acciones de la categoría business.
Organization membershipTodas las acciones para cuando se ha invitado a un nuevo usuario a unirse a una organización.
Team managementTodas las acciones relacionadas con la administración de equipos.
- Cuando se ha agregado o quitado una cuenta de usuario o un repositorio de un equipo
- Cuando un mantenedor de equipo se ha promocionado o degradado
- Cuando se ha eliminado un equipo
Repository managementTodas las acciones para la administración de repositorios.
- Cuando se ha creado o eliminado un repositorio
- Cuando se ha cambiado la visibilidad del repositorio
- Cuando se ha agregado o quitado un equipo de un repositorio
Hook activityTodas las acciones de webhooks y enlaces de recepción previa.
Security managementTodas las acciones relacionadas con las claves SSH, las claves de implementación, las claves de seguridad, 2FA y la autorización de credenciales de inicio de sesión único de SAML y las alertas de vulnerabilidades para los repositorios.

Sintaxis de la consulta de búsqueda

Puede redactar una consulta de búsqueda de uno o más pares key:value separados por los operadores lógicos AND/OR. Por ejemplo, para ver todas las acciones que han afectado al repositorio octocat/Spoon-Knife desde principios de 2017:

repo:"octocat/Spoon-Knife" AND created:>=2017-01-01

Los pares key:value que se pueden usar en una consulta de búsqueda son los siguientes:

ClaveValue
actor_idID de la cuenta de usuario que inició la acción
actorNombre de la cuenta de usuario que inició la acción
oauth_app_idID de la aplicación OAuth asociada con la acción
actionNombre de la acción auditada
user_idID del usuario afectado por la acción
userNombre del usuario afectado por la acción
repo_idID del repositorio afectado por la acción (si corresponde)
repoNombre del repositorio afectado por la acción (si corresponde)
actor_ipDirección IP desde donde se inició la acción
createdHora a la que se ha producido la acción. Si consulta el registro de auditoría desde el panel de administración del sitio, use created_at en su lugar
fromVista desde donde se inició la acción
noteInformación variada de evento específico (en texto simple o en formato JSON)
orgNombre de la organización afectada por la acción (si corresponde)
org_idID de la organización afectada por la acción (si corresponde)
businessNombre de la empresa afectada por la acción (si procede)
business_idId. de la empresa afectada por la acción (si procede)

Para ver las acciones agrupadas por categoría, también puede usar el calificador de acción como un par key:value. Para más información, vea "Búsqueda en función de la acción realizada".

Para obtener una lista completa de las acciones del registro de auditoría de la empresa, vea "Acciones del registro de auditoría para la empresa".

Buscar el registro de auditoría

Búsqueda basada en la operación

Use el calificador operation para limitar las acciones a tipos específicos de operaciones. Por ejemplo:

  • operation:access busca todos los eventos en los que se ha accedido a un recurso.
  • operation:authentication busca todos los eventos en los que se ha realizado un evento de autenticación.
  • operation:create busca todos los eventos en los que se ha creado un recurso.
  • operation:modify busca todos los eventos en los que se ha modificado un recurso existente.
  • operation:remove busca todos los eventos en los que se ha quitado un recurso existente.
  • operation:restore busca todos los eventos en los que se ha restaurado un recurso existente.
  • operation:transfer busca todos los eventos en los que se ha transferido un recurso existente.

Búsqueda basada en el repositorio

Use el calificador repo para limitar las acciones a un repositorio específico. Por ejemplo:

  • repo:my-org/our-repo busca todos los eventos que se han producido para el repositorio our-repo de la organización my-org.
  • repo:my-org/our-repo repo:my-org/another-repo busca todos los eventos que se han producido para los repositorios our-repo y another-repo de la organización my-org.
  • -repo:my-org/not-this-repo excluye todos los eventos que se han producido para el repositorio not-this-repo de la organización my-org.

Tenga en cuenta que debe incluir el nombre de la cuenta en el calificador repo; la búsqueda de solo repo:our-repo no funcionará.

Búsqueda basada en el usuario

El calificador actor puede incluir eventos en función de quién haya realizado la acción. Por ejemplo:

  • actor:octocat busca todos los eventos realizados por octocat.
  • actor:octocat actor:hubot busca todos los eventos realizados por octocat y hubot.
  • -actor:hubot excluye todos los eventos realizados por hubot.

Ten en cuenta que solo puedes utilizar un nombre de usuario GitHub Enterprise Server, no el nombre real de una persona.

Búsqueda basada en la acción realizada

Para buscar eventos específicos, use el calificador action en la consulta. Por ejemplo:

  • action:team busca todos los eventos agrupados dentro de la categoría de equipo.
  • -action:hook excluye todos los eventos de la categoría de webhook.

Cada categoría tiene un conjunto de acciones asociadas que puedes filtrar. Por ejemplo:

  • action:team.create busca todos los eventos en los que se ha creado un equipo.
  • -action:hook.events_changed excluye todos los eventos en los que se han modificado los eventos de un webhook.

Las acciones que se pueden encontrar en el registro de auditoría de la empresa se agrupan en las categorías siguientes:

| Nombre de la categoría | Descripción |------------------|------------------- | artifact | Contiene las actividades relacionadas con los artefactos de ejecución de flujo de trabajo de GitHub Actions. | audit_log_streaming | Contiene las actividades relacionadas con la transmisión de registros de auditoría para las organizaciones de una cuenta empresarial. | business | Contiene las actividades relacionadas con la configuración de negocio de una empresa. | business | Contiene las actividades relacionadas con la configuración de negocio de una empresa. | business_secret_scanning_custom_pattern | Contiene las actividades relacionadas con los patrones personalizados para el análisis de secretos de una empresa. | checks | Contiene las actividades relacionadas con la comprobación de conjuntos de pruebas y ejecuciones. | commit_comment | Contiene las actividades relacionadas con la actualización o eliminación de comentarios de confirmación. | config_entry | Contiene actividades relacionadas con las opciones de configuración. Estos eventos solo son visibles en el registro de auditoría del administrador del sitio. | | dependabot_alerts | Contiene actividades de configuración de nivel de organización para Dependabot alerts en repositorios existentes. Para más información, vea "Acerca de Dependabot alerts". | dependabot_alerts_new_repos | Contiene las actividades de configuración a nivel de organización para las Dependabot alerts en los repositorios nuevos que se crearon en la organización. | dependabot_repository_access | Contiene las actividades relacionadas con los repositorios privados de una organización para los que Dependabot tiene permiso de acceso. | dependabot_security_updates | Contiene las actividades de configuración a nivel de organización para Dependabot security updates en los repositorios existentes. Para obtener más información, consulta "Configuración de Dependabot security updates". | dependabot_security_updates_new_repos | Contiene las actividades de configuración a nivel de organización para Dependabot security updates para los repositorios nuevos que se crean en ella. | dependency_graph | Contiene las actividades de configuración a nivel de organización para los gráficos de dependencias de los repositorios. Para obtener más información, consulta "Acerca del gráfico de dependencias". | dependency_graph_new_repos | Contiene las actividades de configuración a nivel de organización para los repositorios nuevos que se crean en ella. | dotcom_connection | Contiene las actividades relacionadas con GitHub Connect. | enterprise | Contiene las actividades relacionadas con la configuración de la empresa. | gist | Contiene actividades relacionadas con Gists. | hook | Contiene las actividades relacionadas con los webhooks. | integration | Contiene las actividades relacionadas con las integraciones de una cuenta. | integration_installation | Contiene las actividades relacionadas con las integraciones instaladas en una cuenta. | integration_installation_request | Contiene las actividades relacionadas con las solicitudes de los miembros de una organización para que los propietarios aprueben integraciones para su uso en la organización. | issue | Contiene las actividades relacionadas con el anclaje, transferencia o eliminación de una propuesta en un repositorio. | issue_comment | Contiene las actividades relacionadas con el anclaje, transferencia o eliminación de comentarios de propuestas. | issues | Contiene las actividades relacionadas con la habilitación o deshabilitación de la creación de propuestas para una organización. | members_can_create_pages | Contiene las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages para repositorios de la organización. Para obtener más información, consulta "Administración de la publicación de sitios de GitHub Pages para la organización". | members_can_create_private_pages | Contiene las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages privados para repositorios de la organización. | members_can_create_public_pages | Contiene las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages públicos para repositorios de la organización. | members_can_delete_repos | Contiene las actividades relacionadas con la habilitación o deshabilitación de la creación de repositorios para una organización. | oauth_access | Contiene las actividades relacionadas con los tokens de acceso de OAuth. | oauth_application | Contiene las actividades relacionadas con las aplicaciones de OAuth. | org | Contiene las actividades relacionadas con la pertenencia a la organización. | org_credential_authorization | Contiene las actividades relacionadas con la autorización de credenciales para su uso con el inicio de sesión único de SAML. | org_secret_scanning_custom_pattern | Contiene las actividades relacionadas con los patrones personalizados para el análisis de secretos de una organización. Para obtener más información, consulta "Definición de patrones personalizados para el análisis de secretos". | org.secret_scanning_push_protection | Contiene las actividades relacionadas con los patrones personalizados de análisis de secretos de una organización. Para obtener más información, consulta "Protección de inserciones para el análisis de secretos". | organization_default_label | Contiene las actividades relacionadas con las etiquetas predeterminadas para los repositorios de una organización. | organization_domain | Contiene las actividades relacionadas con los dominios verificados de una organización. | organization_projects_change | Contiene las actividades relacionadas con los paneles de proyecto de toda la organización de una empresa. | pre_receive_environment | Contiene las actividades relacionadas con los entornos de enlace previo a la recepción. | pre_receive_hook | Contiene las actividades relacionadas con los enlaces previos a la recepción. | private_instance_encryption | Contiene las actividades relacionadas con la habilitación del modo privado para una empresa. | private_repository_forking | Contiene las actividades relacionadas con la habilitación de bifurcaciones de repositorios privados e internos para un repositorio, organización o empresa. | project | Contiene las actividades relacionadas con los paneles de proyecto. | project_field | Contiene las actividades relacionadas con la creación y eliminación de campos en un panel de proyecto. | project_view | Contiene las actividades relacionadas con la creación y eliminación de vistas en un panel de proyecto. | protected_branch | Contiene las actividades relacionadas con las ramas protegidas. | public_key | Contiene las actividades relacionadas con las claves SSH y las claves de implementación. | pull_request | Contiene las actividades relacionadas con las solicitudes de incorporación de cambios. | pull_request_review | Contiene las actividades relacionadas con las revisiones de solicitudes de incorporación de cambios. | pull_request_review_comment | Contiene las actividades relacionadas con los comentarios de revisión de las solicitudes de incorporación de cambios. | repo | Contiene las actividades relacionadas con los repositorios que pertenecen a una organización. | repository_image | Contiene actividades relacionadas con imágenes de un repositorio. | repository_invitation | Contiene actividades relacionadas con invitaciones para unirse a un repositorio. | repository_projects_change | Contiene las actividades relacionadas con la habilitación de proyectos para un repositorio o para todos los repositorios de una organización. | repository_secret_scanning | Contiene las actividades a nivel de repositorio relacionadas con el análisis de secretos. Para obtener más información, consulta "Acerca del análisis de secretos". | repository_secret_scanning_custom_pattern | Contiene las actividades relacionadas con los patrones personalizados de análisis de secretos de un repositorio. Para más información, vea "Definición de patrones personalizados para el análisis de secretos". | repository_secret_scanning_push_protection | Contiene las actividades relacionadas con los patrones personalizados de análisis de secretos de un repositorio. Para obtener más información, consulta "Protección de inserciones para el análisis de secretos". | repository_vulnerability_alert | Contiene las actividades relacionadas con Dependabot alerts. | restrict_notification_delivery | Contiene las actividades relacionadas con la restricción de las notificaciones de correo electrónico en los dominios aprobados o comprobados de una empresa. | role | Contiene las actividades relacionadas con los roles de repositorio personalizados. | secret_scanning | Contiene las actividades de configuración a nivel de organización para el análisis de secretos en los repositorios existentes. Para obtener más información, consulta "Acerca del análisis de secretos". | secret_scanning_new_repos | Contiene las actividades de configuración a nivel de organización para el análisis de secretos para los repositorios nuevos que se crean en ella. | security_key | Contiene las actividades relacionadas con el registro y eliminación de claves de seguridad. | ssh_certificate_authority | Contiene las actividades relacionadas con una autoridad de certificación SSH en una organización o empresa. | ssh_certificate_requirement | Contiene las actividades relacionadas con la necesidad de que los miembros usen certificados SSH para acceder a los recursos de la organización. | staff | Contiene las actividades relacionadas con la realización de una acción por parte de un administrador de sitio. | team | Contiene las actividades relacionadas con los equipos de una organización. | team_discussions | Contiene las actividades relacionadas con la administración de debates de equipo para una organización. | two_factor_authentication | Contiene las actividades relacionadas con la autenticación en dos fases. | user | Contiene las actividades relacionadas con los usuarios de una empresa u organización. | user_license | Contiene las actividades relacionadas con el hecho de que un usuario ocupe un puesto con licencia en una empresa y sea miembro de ella. | workflows | Contiene las actividades relacionadas con los flujos de trabajo de GitHub Actions.

Búsqueda basada en el momento de la acción

Use el calificador created para filtrar los eventos del registro de auditoría en función de cuándo se hayan producido.

El formato de fecha debe seguir el estándar ISO8601, que es YYYY-MM-DD (año-mes-día). También puede agregar información de tiempo opcional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Esto es, T, seguido de HH:MM:SS (hora-minutos-segundos) y una diferencia horaria con UTC (+00:00).

Cuando buscas una fecha, puedes utilizar los calificadores de mayor qué, menor qué y rango para filtrar aún más los resultados. Para más información, vea "Descripción de la sintaxis de búsqueda".

Por ejemplo:

  • created:2014-07-08 busca todos los eventos que se han producido el 8 de julio de 2014.
  • created:>=2014-07-08 busca todos los eventos que se han producido el 8 de julio de 2014 o después.
  • created:<=2014-07-08 busca todos los eventos que se han producido el 8 de julio de 2014 o antes.
  • created:2014-07-01..2014-07-31 busca todos los eventos que se han producido durante el mes de julio de 2014.

Búsqueda basada en la ubicación

Con el calificador country, puede filtrar los eventos del registro de auditoría en función del país de origen. Puede usar un código corto de dos letras del país o el nombre completo. Los países con espacios en el nombre se tendrán que incluir entre comillas. Por ejemplo:

  • country:de busca todos los eventos que se han producido en Alemania.
  • country:Mexico busca todos los eventos que se han producido en México.
  • country:"United States" todos buscan eventos que se han producido en Estados Unidos.