Skip to main content

Búsqueda en el registro de auditoría de la empresa

Puedes buscar una lista extensa de acciones auditadas en tu empresa.

Quién puede usar esta característica

Enterprise owners and site administrators can search the audit log.

Acerca de la búsqueda en el registro de auditoría de empresa

Puede buscar en el registro de auditoría de la empresa directamente desde la interfaz de usuario mediante la lista desplegable Filtros o si escribe una consulta de búsqueda.

Para obtener más información sobre la visualización del registro de auditoría de la empresa, consulte "Acceso al registro de auditoría de la empresa".

Nota: Los eventos de Git no se incluyen en los resultados de la búsqueda.

También puede usar la API para recuperar eventos de registro de auditoría. Para obtener más información, vea «Uso de la API de registro de auditoría para la empresa».

No puedes buscar entradas mediante texto. Sin embargo, puedes construir consultas de búsqueda utilizando una variedad de filtros. Muchos operadores que se utilizan cuando se consulta el registro, tales como -, > o <, coinciden con el mismo formato de búsqueda en GitHub Enterprise Server. Para obtener más información, vea «Acerca de la búsqueda en GitHub».

Nota: El registro de auditoría muestra los eventos que desencadenan las actividades que afectan a la empresa. Los registros de auditoría de GitHub Enterprise Server se conservan indefinidamente, a menos que un propietario de la empresa haya configurado un período de retención diferente. Para más información, consulta "Configuración del registro de auditoría de la empresa".

De forma predeterminada, solo se muestran los eventos de los últimos tres meses. Para ver eventos anteriores, debe especificar un intervalo de fechas con el parámetro created. Para obtener más información, vea «Entender la sintaxis de búsqueda».

Filtros de consulta de búsqueda

FilterDescripción
Yesterday's activityTodas las acciones creadas en el último día.
Enterprise account managementTodas las acciones de la categoría business.
Organization membershipTodas las acciones para cuando se ha invitado a un nuevo usuario a unirse a una organización.
Team managementTodas las acciones relacionadas con la administración de equipos.
- Cuando se ha agregado o quitado una cuenta de usuario o un repositorio de un equipo
- Cuando un mantenedor de equipo se ha promocionado o degradado
- Cuando se ha eliminado un equipo
Repository managementTodas las acciones para la administración de repositorios.
- Cuando se ha creado o eliminado un repositorio
- Cuando se ha cambiado la visibilidad del repositorio
- Cuando se ha agregado o quitado un equipo de un repositorio
Hook activityTodas las acciones de webhooks y enlaces de recepción previa.
Security managementTodas las acciones relacionadas con las claves SSH, las claves de implementación, las claves de seguridad, 2FA y la autorización de credenciales de inicio de sesión único de SAML y las alertas de vulnerabilidades para los repositorios.

Sintaxis de la consulta de búsqueda

Puede redactar una consulta de búsqueda de uno o más pares key:value separados por los operadores lógicos AND/OR. Por ejemplo, para ver todas las acciones que han afectado al repositorio octocat/Spoon-Knife desde principios de 2017:

repo:"octocat/Spoon-Knife" AND created:>=2017-01-01

Los pares key:value que se pueden usar en una consulta de búsqueda son los siguientes:

ClaveValue
actionNombre de la acción auditada.
actorNombre de la cuenta de usuario que inició la acción.
actor_idIdentificador de la cuenta de usuario que inició la acción.
actor_ipDirección IP desde la que se inició la acción.
businessNombre de la empresa afectada por la acción (si procede).
business_idIdentificador de la empresa afectada por la acción (si procede).
ipDirección IP del actor.
noteInformación variada específica del eventos (en forma de texto sin formato o en formato JSON).
oauth_app_ididentificador de la OAuth app asociada a la acción.
operationTipo de operación que corresponde a la acción. Los tipos de operación son create, access, modify, remove, authentication, transfery restore.
orgNombre de la organización afectada por la acción (si procede).
org_idIdentificador de la organización afectada por la acción (si procede).
repo_idIdentificador del repositorio afectado por la acción (si procede).
repositoryNombre con el propietario del repositorio donde se produjo la acción (como octocat/octo-repo).
user_idIdentificador del usuario afectado por la acción.
userNombre del usuario afectado por la acción.

Para ver las acciones agrupadas por categoría, también puede usar el calificador de acción como un par key:value. Para más información, vea "Búsqueda en función de la acción realizada".

Para obtener una lista completa de las acciones del registro de auditoría de la empresa, vea "Eventos de registro de auditoría de la empresa".

Buscar el registro de auditoría

Búsqueda basada en la operación

Use el calificador operation para limitar las acciones a tipos específicos de operaciones. Por ejemplo:

  • operation:access busca todos los eventos en los que se ha accedido a un recurso.
  • operation:authentication busca todos los eventos en los que se ha realizado un evento de autenticación.
  • operation:create busca todos los eventos en los que se ha creado un recurso.
  • operation:modify busca todos los eventos en los que se ha modificado un recurso existente.
  • operation:remove busca todos los eventos en los que se ha quitado un recurso existente.
  • operation:restore busca todos los eventos en los que se ha restaurado un recurso existente.
  • operation:transfer busca todos los eventos en los que se ha transferido un recurso existente.

Búsqueda basada en el repositorio

Use el calificador repo para limitar las acciones a un repositorio específico. Por ejemplo:

  • repo:my-org/our-repo busca todos los eventos que se han producido para el repositorio our-repo de la organización my-org.
  • repo:my-org/our-repo repo:my-org/another-repo busca todos los eventos que se han producido para los repositorios our-repo y another-repo de la organización my-org.
  • -repo:my-org/not-this-repo excluye todos los eventos que se han producido para el repositorio not-this-repo de la organización my-org.

Tenga en cuenta que debe incluir el nombre de la cuenta en el calificador repo; la búsqueda de solo repo:our-repo no funcionará.

Búsqueda basada en el usuario

El calificador actor puede incluir eventos en función de quién haya realizado la acción. Por ejemplo:

  • actor:octocat busca todos los eventos realizados por octocat.
  • actor:octocat actor:hubot busca todos los eventos realizados por octocat o hubot.
  • -actor:hubot excluye todos los eventos realizados por hubot.

Ten en cuenta que solo puedes utilizar un nombre de usuario GitHub Enterprise Server, no el nombre real de una persona.

Búsqueda basada en la acción realizada

Para buscar eventos específicos, use el calificador action en la consulta. Por ejemplo:

  • action:team busca todos los eventos agrupados dentro de la categoría de equipo.
  • -action:hook excluye todos los eventos de la categoría de webhook.

Cada categoría tiene un conjunto de acciones asociadas que puedes filtrar. Por ejemplo:

  • action:team.create busca todos los eventos en los que se ha creado un equipo.
  • -action:hook.events_changed excluye todos los eventos en los que se han modificado los eventos de un webhook.

Las acciones que se pueden encontrar en el registro de auditoría de la empresa se agrupan en las categorías siguientes:

Nombre de la categoríaDescripción
artifactContiene las actividades relacionadas con los artefactos de ejecución de flujo de trabajo de GitHub Actions.
audit_log_streamingContiene las actividades relacionadas con la transmisión de registros de auditoría para las organizaciones de una cuenta empresarial.
businessContiene las actividades relacionadas con la configuración de negocio de una empresa.
business_secret_scanning_custom_patternContiene actividades relacionadas con patrones personalizados para secret scanning en una empresa.
checksContiene las actividades relacionadas con la comprobación de conjuntos de pruebas y ejecuciones.
commit_commentContiene las actividades relacionadas con la actualización o eliminación de comentarios de confirmación.
config_entryContiene actividades relacionadas con las opciones de configuración. Estos eventos solo son visibles en el registro de auditoría del administrador del sitio.
dependabot_alertsContiene actividades de configuración a nivel de organización para Dependabot alerts en los repositorios existentes. Para obtener más información, vea «Acerca de las alertas Dependabot».
dependabot_alerts_new_reposContiene las actividades de configuración a nivel de organización para las Dependabot alerts en los repositorios nuevos que se crearon en la organización.
dependabot_repository_accessContiene las actividades relacionadas con los repositorios privados de una organización para los que Dependabot tiene permiso de acceso.
dependabot_security_updatesContiene actividades de configuración a nivel de organización para Dependabot security updates en los repositorios existentes. Para obtener más información, vea «Configuración de actualizaciones de seguridad de Dependabot».
dependabot_security_updates_new_reposContiene las actividades de configuración a nivel de organización para Dependabot security updates para los repositorios nuevos que se crean en ella.
dependency_graphContiene las actividades de configuración a nivel de organización para los gráficos de dependencias de los repositorios. Para obtener más información, vea «Acerca del gráfico de dependencias».
dependency_graph_new_reposContiene las actividades de configuración a nivel de organización para los repositorios nuevos que se crean en ella.
dotcom_connectionContiene las actividades relacionadas con GitHub Connect.
enterpriseContiene las actividades relacionadas con la configuración de la empresa.
hookContiene las actividades relacionadas con los webhooks.
integrationContiene las actividades relacionadas con las integraciones de una cuenta.
integration_installationContiene las actividades relacionadas con las integraciones instaladas en una cuenta.
integration_installation_requestContiene las actividades relacionadas con las solicitudes de los miembros de una organización para que los propietarios aprueben integraciones para su uso en la organización.
issueContiene las actividades relacionadas con el anclaje, transferencia o eliminación de una propuesta en un repositorio.
issue_commentContiene las actividades relacionadas con el anclaje, transferencia o eliminación de comentarios de propuestas.
issuesContiene las actividades relacionadas con la habilitación o deshabilitación de la creación de propuestas para una organización.
members_can_create_pagesContiene las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages para repositorios de la organización. Para obtener más información, vea «Administrar la publicación de sitios de GitHub Pages de tu organización».
members_can_create_private_pagesContiene las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages privados para repositorios de la organización.
members_can_create_public_pagesContiene las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages públicos para repositorios de la organización.
members_can_delete_reposContiene las actividades relacionadas con la habilitación o deshabilitación de la creación de repositorios para una organización.
oauth_accessContiene las actividades relacionadas con los tokens de acceso de OAuth.
oauth_applicationContiene actividades relacionadas con las OAuth apps.
orgContiene las actividades relacionadas con la pertenencia a la organización.
org_credential_authorizationContiene las actividades relacionadas con la autorización de credenciales para su uso con el inicio de sesión único de SAML.
org_secret_scanning_custom_patternContiene actividades relacionadas con patrones personalizados para secret scanning en una organización. Para obtener más información, vea «Definición de patrones personalizados para el examen de secretos».
organization_default_labelContiene las actividades relacionadas con las etiquetas predeterminadas para los repositorios de una organización.
organization_domainContiene las actividades relacionadas con los dominios verificados de una organización.
organization_projects_changeContiene las actividades relacionadas con los paneles de proyecto de toda la organización de una empresa.
pre_receive_environmentContiene las actividades relacionadas con los entornos de enlace previo a la recepción.
pre_receive_hookContiene las actividades relacionadas con los enlaces previos a la recepción.
private_instance_encryptionContiene las actividades relacionadas con la habilitación del modo privado para una empresa.
private_repository_forkingContiene las actividades relacionadas con la habilitación de bifurcaciones de repositorios privados e internos para un repositorio, organización o empresa.
projectContiene las actividades relacionadas con los paneles de proyecto.
project_fieldContiene las actividades relacionadas con la creación y eliminación de campos en un panel de proyecto.
project_viewContiene las actividades relacionadas con la creación y eliminación de vistas en un panel de proyecto.
protected_branchContiene las actividades relacionadas con las ramas protegidas.
public_keyContiene las actividades relacionadas con las claves SSH y las claves de implementación.
pull_requestContiene las actividades relacionadas con las solicitudes de incorporación de cambios.
pull_request_reviewContiene las actividades relacionadas con las revisiones de solicitudes de incorporación de cambios.
pull_request_review_commentContiene las actividades relacionadas con los comentarios de revisión de las solicitudes de incorporación de cambios.
repoContiene las actividades relacionadas con los repositorios que pertenecen a una organización.
repository_imageContiene actividades relacionadas con imágenes de un repositorio.
repository_invitationContiene actividades relacionadas con invitaciones para unirse a un repositorio.
repository_projects_changeContiene las actividades relacionadas con la habilitación de proyectos para un repositorio o para todos los repositorios de una organización.
repository_secret_scanningContiene las actividades a nivel de repositorio relacionadas con el secret scanning. Para obtener más información, vea «Acerca del examen de secretos».
repository_secret_scanning_custom_patternContiene actividades relacionadas con patrones personalizados para secret scanning en un repositorio. Para obtener más información, vea «Definición de patrones personalizados para el examen de secretos».
repository_secret_scanning_push_protectionContiene actividades relacionadas con la característica de protección contra el envío de cambios de secret scanning en un repositorio. Para obtener más información, vea «Protección contra el envío de cambios para repositorios y organizaciones».
repository_vulnerability_alertContiene las actividades relacionadas con Dependabot alerts.
restrict_notification_deliveryContiene las actividades relacionadas con la restricción de las notificaciones de correo electrónico en los dominios aprobados o comprobados de una empresa.
roleContiene las actividades relacionadas con los roles de repositorio personalizados.
secret_scanningContiene las actividades de configuración a nivel de organización para secret scanning en los repositorios existentes. Para obtener más información, vea «Acerca del examen de secretos».
secret_scanning_new_reposContiene las actividades de configuración a nivel de organización para secret scanning para los repositorios nuevos que se crearon en la organización.
security_keyContiene las actividades relacionadas con el registro y eliminación de claves de seguridad.
ssh_certificate_authorityContiene las actividades relacionadas con una autoridad de certificación SSH en una organización o empresa.
ssh_certificate_requirementContiene las actividades relacionadas con la necesidad de que los miembros usen certificados SSH para acceder a los recursos de la organización.
staffContiene actividades relacionadas con un administrador de sitio que realiza una acción.
teamContiene actividades relacionadas con los equipos de una organización.
team_discussionsContiene actividades relacionadas con la administración de los debates de equipo de una organización.
two_factor_authenticationContiene las actividades relacionadas con la autenticación en dos fases.
userContiene las actividades relacionadas con los usuarios de una empresa u organización.
user_licenseContiene las actividades relacionadas con el hecho de que un usuario ocupe un puesto con licencia en una empresa y sea miembro de ella.
workflowsContiene las actividades relacionadas con los flujos de trabajo de GitHub Actions.

Búsqueda basada en el momento de la acción

Use el calificador created para filtrar los eventos del registro de auditoría en función de cuándo se hayan producido.

El formato de fecha debe seguir el estándar ISO8601, que es YYYY-MM-DD (año-mes-día). También puede agregar información de tiempo opcional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Esto es, T, seguido de HH:MM:SS (hora-minutos-segundos) y una diferencia horaria con UTC (+00:00).

Cuando buscas una fecha, puedes utilizar los calificadores de mayor qué, menor qué y rango para filtrar aún más los resultados. Para obtener más información, vea «Entender la sintaxis de búsqueda».

Por ejemplo:

  • created:2014-07-08 busca todos los eventos que se han producido el 8 de julio de 2014.
  • created:>=2014-07-08 busca todos los eventos que se han producido el 8 de julio de 2014 o después.
  • created:<=2014-07-08 busca todos los eventos que se han producido el 8 de julio de 2014 o antes.
  • created:2014-07-01..2014-07-31 busca todos los eventos que se han producido durante el mes de julio de 2014.

Búsqueda basada en la ubicación

Con el calificador country, puede filtrar los eventos del registro de auditoría en función del país de origen. Puede usar un código corto de dos letras del país o el nombre completo. Los países con espacios en el nombre se tendrán que incluir entre comillas. Por ejemplo:

  • country:de busca todos los eventos que se han producido en Alemania.
  • country:Mexico busca todos los eventos que se han producido en México.
  • country:"United States" busca todos los eventos que se han producido en Estados Unidos.