Acerca de la búsqueda en el registro de auditoría de empresa
Puede buscar en el registro de auditoría de la empresa directamente desde la interfaz de usuario mediante la lista desplegable Filtros o si escribe una consulta de búsqueda.
Para obtener más información sobre la visualización del registro de auditoría de la empresa, consulte "Acceso al registro de auditoría de la empresa".
Nota: Los eventos de Git no se incluyen en los resultados de la búsqueda.
También puede usar la API para recuperar eventos de registro de auditoría. Para obtener más información, vea «Uso de la API de registro de auditoría para la empresa».
No puedes buscar entradas mediante texto. Sin embargo, puedes construir consultas de búsqueda utilizando una variedad de filtros. Muchos operadores que se utilizan cuando se consulta el registro, tales como -, > o <, coinciden con el mismo formato de búsqueda en GitHub Enterprise Server. Para obtener más información, vea «Acerca de la búsqueda en GitHub».
Nota: El registro de auditoría muestra los eventos que desencadenan las actividades que afectan a la empresa. Los registros de auditoría de GitHub Enterprise Server se conservan indefinidamente, a menos que un propietario de la empresa haya configurado un período de retención diferente. Para más información, consulta "Configuración del registro de auditoría de la empresa".
De forma predeterminada, solo se muestran los eventos de los últimos tres meses. Para ver eventos anteriores, debe especificar un intervalo de fechas con el parámetro created. Para obtener más información, vea «Entender la sintaxis de búsqueda».
Filtros de consulta de búsqueda
| Filter | Descripción |
|---|---|
Yesterday's activity | Todas las acciones creadas en el último día. |
Enterprise account management | Todas las acciones de la categoría business. |
Organization membership | Todas las acciones para cuando se ha invitado a un nuevo usuario a unirse a una organización. |
Team management | Todas las acciones relacionadas con la administración de equipos. - Cuando se ha agregado o quitado una cuenta de usuario o un repositorio de un equipo - Cuando un mantenedor de equipo se ha promocionado o degradado - Cuando se ha eliminado un equipo |
Repository management | Todas las acciones para la administración de repositorios. - Cuando se ha creado o eliminado un repositorio - Cuando se ha cambiado la visibilidad del repositorio - Cuando se ha agregado o quitado un equipo de un repositorio |
Hook activity | Todas las acciones de webhooks y enlaces de recepción previa. |
Security management | Todas las acciones relacionadas con las claves SSH, las claves de implementación, las claves de seguridad, 2FA y la autorización de credenciales de inicio de sesión único de SAML y las alertas de vulnerabilidades para los repositorios. |
Sintaxis de la consulta de búsqueda
Puede redactar una consulta de búsqueda de uno o más pares key:value separados por los operadores lógicos AND/OR. Por ejemplo, para ver todas las acciones que han afectado al repositorio octocat/Spoon-Knife desde principios de 2017:
repo:"octocat/Spoon-Knife" AND created:>=2017-01-01
Los pares key:value que se pueden usar en una consulta de búsqueda son los siguientes:
| Clave | Value |
|---|---|
action | Nombre de la acción auditada. |
actor | Nombre de la cuenta de usuario que inició la acción. |
actor_id | Identificador de la cuenta de usuario que inició la acción. |
actor_ip | Dirección IP desde la que se inició la acción. |
business | Nombre de la empresa afectada por la acción (si procede). |
business_id | Identificador de la empresa afectada por la acción (si procede). |
ip | Dirección IP del actor. |
note | Información variada específica del eventos (en forma de texto sin formato o en formato JSON). |
oauth_app_id | identificador de la OAuth app asociada a la acción. |
operation | Tipo de operación que corresponde a la acción. Los tipos de operación son create, access, modify, remove, authentication, transfery restore. |
org | Nombre de la organización afectada por la acción (si procede). |
org_id | Identificador de la organización afectada por la acción (si procede). |
repo_id | Identificador del repositorio afectado por la acción (si procede). |
repository | Nombre con el propietario del repositorio donde se produjo la acción (como octocat/octo-repo). |
user_id | Identificador del usuario afectado por la acción. |
user | Nombre del usuario afectado por la acción. |
Para ver las acciones agrupadas por categoría, también puede usar el calificador de acción como un par key:value. Para más información, vea "Búsqueda en función de la acción realizada".
Para obtener una lista completa de las acciones del registro de auditoría de la empresa, vea "Eventos de registro de auditoría de la empresa".
Buscar el registro de auditoría
Búsqueda basada en la operación
Use el calificador operation para limitar las acciones a tipos específicos de operaciones. Por ejemplo:
operation:accessbusca todos los eventos en los que se ha accedido a un recurso.operation:authenticationbusca todos los eventos en los que se ha realizado un evento de autenticación.operation:createbusca todos los eventos en los que se ha creado un recurso.operation:modifybusca todos los eventos en los que se ha modificado un recurso existente.operation:removebusca todos los eventos en los que se ha quitado un recurso existente.operation:restorebusca todos los eventos en los que se ha restaurado un recurso existente.operation:transferbusca todos los eventos en los que se ha transferido un recurso existente.
Búsqueda basada en el repositorio
Use el calificador repo para limitar las acciones a un repositorio específico. Por ejemplo:
repo:my-org/our-repobusca todos los eventos que se han producido para el repositorioour-repode la organizaciónmy-org.repo:my-org/our-repo repo:my-org/another-repobusca todos los eventos que se han producido para los repositoriosour-repoyanother-repode la organizaciónmy-org.-repo:my-org/not-this-repoexcluye todos los eventos que se han producido para el repositorionot-this-repode la organizaciónmy-org.
Tenga en cuenta que debe incluir el nombre de la cuenta en el calificador repo; la búsqueda de solo repo:our-repo no funcionará.
Búsqueda basada en el usuario
El calificador actor puede incluir eventos en función de quién haya realizado la acción. Por ejemplo:
actor:octocatbusca todos los eventos realizados poroctocat.actor:octocat actor:hubotbusca todos los eventos realizados poroctocatohubot.-actor:hubotexcluye todos los eventos realizados porhubot.
Ten en cuenta que solo puedes utilizar un nombre de usuario GitHub Enterprise Server, no el nombre real de una persona.
Búsqueda basada en la acción realizada
Para buscar eventos específicos, use el calificador action en la consulta. Por ejemplo:
action:teambusca todos los eventos agrupados dentro de la categoría de equipo.-action:hookexcluye todos los eventos de la categoría de webhook.
Cada categoría tiene un conjunto de acciones asociadas que puedes filtrar. Por ejemplo:
action:team.createbusca todos los eventos en los que se ha creado un equipo.-action:hook.events_changedexcluye todos los eventos en los que se han modificado los eventos de un webhook.
Las acciones que se pueden encontrar en el registro de auditoría de la empresa se agrupan en las categorías siguientes:
| Nombre de la categoría | Descripción |
|---|---|
artifact | Contiene las actividades relacionadas con los artefactos de ejecución de flujo de trabajo de GitHub Actions. |
audit_log_streaming | Contiene las actividades relacionadas con la transmisión de registros de auditoría para las organizaciones de una cuenta empresarial. |
business | Contiene las actividades relacionadas con la configuración de negocio de una empresa. |
business_secret_scanning_custom_pattern | Contiene actividades relacionadas con patrones personalizados para secret scanning en una empresa. |
checks | Contiene las actividades relacionadas con la comprobación de conjuntos de pruebas y ejecuciones. |
commit_comment | Contiene las actividades relacionadas con la actualización o eliminación de comentarios de confirmación. |
config_entry | Contiene actividades relacionadas con las opciones de configuración. Estos eventos solo son visibles en el registro de auditoría del administrador del sitio. |
dependabot_alerts | Contiene actividades de configuración a nivel de organización para Dependabot alerts en los repositorios existentes. Para obtener más información, vea «Acerca de las alertas Dependabot». |
dependabot_alerts_new_repos | Contiene las actividades de configuración a nivel de organización para las Dependabot alerts en los repositorios nuevos que se crearon en la organización. |
dependabot_repository_access | Contiene las actividades relacionadas con los repositorios privados de una organización para los que Dependabot tiene permiso de acceso. |
dependabot_security_updates | Contiene actividades de configuración a nivel de organización para Dependabot security updates en los repositorios existentes. Para obtener más información, vea «Configuración de actualizaciones de seguridad de Dependabot». |
dependabot_security_updates_new_repos | Contiene las actividades de configuración a nivel de organización para Dependabot security updates para los repositorios nuevos que se crean en ella. |
dependency_graph | Contiene las actividades de configuración a nivel de organización para los gráficos de dependencias de los repositorios. Para obtener más información, vea «Acerca del gráfico de dependencias». |
dependency_graph_new_repos | Contiene las actividades de configuración a nivel de organización para los repositorios nuevos que se crean en ella. |
dotcom_connection | Contiene las actividades relacionadas con GitHub Connect. |
enterprise | Contiene las actividades relacionadas con la configuración de la empresa. |
hook | Contiene las actividades relacionadas con los webhooks. |
integration | Contiene las actividades relacionadas con las integraciones de una cuenta. |
integration_installation | Contiene las actividades relacionadas con las integraciones instaladas en una cuenta. |
integration_installation_request | Contiene las actividades relacionadas con las solicitudes de los miembros de una organización para que los propietarios aprueben integraciones para su uso en la organización. |
issue | Contiene las actividades relacionadas con el anclaje, transferencia o eliminación de una propuesta en un repositorio. |
issue_comment | Contiene las actividades relacionadas con el anclaje, transferencia o eliminación de comentarios de propuestas. |
issues | Contiene las actividades relacionadas con la habilitación o deshabilitación de la creación de propuestas para una organización. |
members_can_create_pages | Contiene las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages para repositorios de la organización. Para obtener más información, vea «Administrar la publicación de sitios de GitHub Pages de tu organización». |
members_can_create_private_pages | Contiene las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages privados para repositorios de la organización. |
members_can_create_public_pages | Contiene las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages públicos para repositorios de la organización. |
members_can_delete_repos | Contiene las actividades relacionadas con la habilitación o deshabilitación de la creación de repositorios para una organización. |
oauth_access | Contiene las actividades relacionadas con los tokens de acceso de OAuth. |
oauth_application | Contiene actividades relacionadas con las OAuth apps. |
org | Contiene las actividades relacionadas con la pertenencia a la organización. |
org_credential_authorization | Contiene las actividades relacionadas con la autorización de credenciales para su uso con el inicio de sesión único de SAML. |
org_secret_scanning_custom_pattern | Contiene actividades relacionadas con patrones personalizados para secret scanning en una organización. Para obtener más información, vea «Definición de patrones personalizados para el examen de secretos». |
organization_default_label | Contiene las actividades relacionadas con las etiquetas predeterminadas para los repositorios de una organización. |
organization_domain | Contiene las actividades relacionadas con los dominios verificados de una organización. |
organization_projects_change | Contiene las actividades relacionadas con los paneles de proyecto de toda la organización de una empresa. |
pre_receive_environment | Contiene las actividades relacionadas con los entornos de enlace previo a la recepción. |
pre_receive_hook | Contiene las actividades relacionadas con los enlaces previos a la recepción. |
private_instance_encryption | Contiene las actividades relacionadas con la habilitación del modo privado para una empresa. |
private_repository_forking | Contiene las actividades relacionadas con la habilitación de bifurcaciones de repositorios privados e internos para un repositorio, organización o empresa. |
project | Contiene las actividades relacionadas con los paneles de proyecto. |
project_field | Contiene las actividades relacionadas con la creación y eliminación de campos en un panel de proyecto. |
project_view | Contiene las actividades relacionadas con la creación y eliminación de vistas en un panel de proyecto. |
protected_branch | Contiene las actividades relacionadas con las ramas protegidas. |
public_key | Contiene las actividades relacionadas con las claves SSH y las claves de implementación. |
pull_request | Contiene las actividades relacionadas con las solicitudes de incorporación de cambios. |
pull_request_review | Contiene las actividades relacionadas con las revisiones de solicitudes de incorporación de cambios. |
pull_request_review_comment | Contiene las actividades relacionadas con los comentarios de revisión de las solicitudes de incorporación de cambios. |
repo | Contiene las actividades relacionadas con los repositorios que pertenecen a una organización. |
repository_image | Contiene actividades relacionadas con imágenes de un repositorio. |
repository_invitation | Contiene actividades relacionadas con invitaciones para unirse a un repositorio. |
repository_projects_change | Contiene las actividades relacionadas con la habilitación de proyectos para un repositorio o para todos los repositorios de una organización. |
repository_secret_scanning | Contiene las actividades a nivel de repositorio relacionadas con el secret scanning. Para obtener más información, vea «Acerca del examen de secretos». |
repository_secret_scanning_custom_pattern | Contiene actividades relacionadas con patrones personalizados para secret scanning en un repositorio. Para obtener más información, vea «Definición de patrones personalizados para el examen de secretos». |
repository_secret_scanning_push_protection | Contiene actividades relacionadas con la característica de protección contra el envío de cambios de secret scanning en un repositorio. Para obtener más información, vea «Protección contra el envío de cambios para repositorios y organizaciones». |
repository_vulnerability_alert | Contiene las actividades relacionadas con Dependabot alerts. |
restrict_notification_delivery | Contiene las actividades relacionadas con la restricción de las notificaciones de correo electrónico en los dominios aprobados o comprobados de una empresa. |
role | Contiene las actividades relacionadas con los roles de repositorio personalizados. |
secret_scanning | Contiene las actividades de configuración a nivel de organización para secret scanning en los repositorios existentes. Para obtener más información, vea «Acerca del examen de secretos». |
secret_scanning_new_repos | Contiene las actividades de configuración a nivel de organización para secret scanning para los repositorios nuevos que se crearon en la organización. |
security_key | Contiene las actividades relacionadas con el registro y eliminación de claves de seguridad. |
ssh_certificate_authority | Contiene las actividades relacionadas con una autoridad de certificación SSH en una organización o empresa. |
ssh_certificate_requirement | Contiene las actividades relacionadas con la necesidad de que los miembros usen certificados SSH para acceder a los recursos de la organización. |
staff | Contiene actividades relacionadas con un administrador de sitio que realiza una acción. |
team | Contiene actividades relacionadas con los equipos de una organización. |
team_discussions | Contiene actividades relacionadas con la administración de los debates de equipo de una organización. |
two_factor_authentication | Contiene las actividades relacionadas con la autenticación en dos fases. |
user | Contiene las actividades relacionadas con los usuarios de una empresa u organización. |
user_license | Contiene las actividades relacionadas con el hecho de que un usuario ocupe un puesto con licencia en una empresa y sea miembro de ella. |
workflows | Contiene las actividades relacionadas con los flujos de trabajo de GitHub Actions. |
Búsqueda basada en el momento de la acción
Use el calificador created para filtrar los eventos del registro de auditoría en función de cuándo se hayan producido.
El formato de fecha debe seguir el estándar ISO8601, que es YYYY-MM-DD (año-mes-día). También puede agregar información de tiempo opcional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Esto es, T, seguido de HH:MM:SS (hora-minutos-segundos) y una diferencia horaria con UTC (+00:00).
Cuando buscas una fecha, puedes utilizar los calificadores de mayor qué, menor qué y rango para filtrar aún más los resultados. Para obtener más información, vea «Entender la sintaxis de búsqueda».
Por ejemplo:
created:2014-07-08busca todos los eventos que se han producido el 8 de julio de 2014.created:>=2014-07-08busca todos los eventos que se han producido el 8 de julio de 2014 o después.created:<=2014-07-08busca todos los eventos que se han producido el 8 de julio de 2014 o antes.created:2014-07-01..2014-07-31busca todos los eventos que se han producido durante el mes de julio de 2014.
Búsqueda basada en la ubicación
Con el calificador country, puede filtrar los eventos del registro de auditoría en función del país de origen. Puede usar un código corto de dos letras del país o el nombre completo. Los países con espacios en el nombre se tendrán que incluir entre comillas. Por ejemplo:
country:debusca todos los eventos que se han producido en Alemania.country:Mexicobusca todos los eventos que se han producido en México.country:"United States"busca todos los eventos que se han producido en Estados Unidos.