À propos de la recherche dans le journal d’audit d’une entreprise
Vous pouvez effectuer une recherche dans le journal d’audit de votre entreprise directement à partir de l’interface utilisateur à l’aide de la liste déroulante Filtres ou en tapant une requête de recherche.
Pour plus d’informations sur la consultation du journal d’audit de votre entreprise, consultez « Accès au journal d’audit de votre entreprise ».
Remarque : Les événements Git ne sont pas inclus dans les résultats de recherche.
Vous pouvez également utiliser l’API pour récupérer les événements du journal d’audit. Pour plus d’informations, consultez « Utilisation de l’API de journal d’audit pour votre entreprise ».
Vous ne pouvez pas rechercher d’entrées avec du texte. Toutefois, vous pouvez construire des requêtes de recherche à l’aide d’une variété de filtres. De nombreux opérateurs utilisés pour l’interrogation du journal, par exemple -, > ou <, ont le même format que pour la recherche dans GitHub Enterprise Cloud. Pour plus d’informations, consultez « À propos de la recherche sur GitHub ».
Remarque : Le journal d’audit liste les événements déclenchés par les activités qui affectent votre entreprise dans le mois en cours et jusqu’aux six mois précédents. Le journal d’audit conserve les événements Git pendant sept jours.
Par défaut, seuls les événements des trois derniers mois sont affichés. Pour voir les événements plus anciens, vous devez spécifier une plage de dates avec le paramètre created. Pour plus d’informations, consultez « Compréhension de la syntaxe de recherche ».
Filtres de requête de recherche
| Filtrer | Description |
|---|---|
Yesterday's activity | Toutes les actions créées au cours du dernier jour |
Enterprise account management | Toutes les actions de la catégorie business |
Organization membership | Toutes les actions pour lesquelles un nouvel utilisateur a été invité à rejoindre une organisation |
Team management | Toutes les actions liées à la gestion d’équipe - Quand un compte d’utilisateur ou un dépôt a été ajouté à une équipe ou supprimé d’une équipe - Quand un responsable d’équipe a été promu ou rétrogradé - Quand une équipe a été supprimée |
Repository management | Toutes les actions liées à la gestion des dépôts - Quand un dépôt a été créé ou supprimé - Quand la visibilité d’un dépôt a été modifiée - Quand une équipe a été ajoutée à un dépôt ou supprimée d’un dépôt |
Billing updates | Toutes les actions concernant la façon dont votre entreprise paye pour GitHub et pour lesquelles votre adresse e-mail de facturation a été modifiée |
Hook activity | Toutes les actions liées aux webhooks et hooks de pré-réception |
Security management | Toutes les actions concernant des clés SSH, des clés de déploiement, des clés de sécurité, l’autorisation d’informations d’identification pour l’authentification à 2 facteurs et l’authentification unique SAML et les alertes de vulnérabilité pour les dépôts |
Syntaxe des requêtes de recherche
Vous pouvez composer une requête de recherche à partir d’une ou plusieurs paires key:value séparées par des opérateurs logiques AND/OR. Par exemple, pour voir toutes les actions qui ont affecté le dépôt octocat/Spoon-Knife depuis début 2017 :
repo:"octocat/Spoon-Knife" AND created:>=2017-01-01
Les paires key:value qui peuvent être utilisées dans une requête de recherche sont les suivantes :
| Clé | Valeur |
|---|---|
action | Nom de l’action auditée. |
actor | Nom du compte d’utilisateur qui a initié l’action. |
created | Heure à laquelle l’action s’est produite. |
country | Nom du pays où l’acteur se trouvait lors de l’exécution de l’action. |
country_code | Code court à deux lettres du pays où l’acteur se trouvait lors de l’exécution de l’action. |
hashed_token | Jeton utilisé pour l’authentification de l’action (le cas échéant, consultez « Identification des événements du journal d’audit effectués par un jeton d’accès »). |
ip | Adresse IP de l’acteur. |
operation | Type d’opération qui correspond à l’action. Les types d’opération sont create, access, modify, remove, authentication, transfer et restore |
repository | Nom avec le propriétaire du dépôt où l’action s’est produite (par exemple octocat/octo-repo). |
user | Nom de l’utilisateur affecté par l’action. |
Pour voir les actions regroupées par catégorie, vous pouvez également utiliser le qualificateur d’action comme paire key:value. Pour plus d’informations, consultez « Recherche basée sur l’action effectuée ».
Pour obtenir la liste complète des actions dans le journal d’audit de votre entreprise, consultez « Événements du journal d’audit pour votre entreprise ».
Recherche dans le journal d’audit
Recherche basée sur l’opération
Utilisez le qualificateur operation pour limiter les actions à des types d’opérations spécifiques. Par exemple :
operation:accessrecherche tous les événements au cours desquels une ressource a été utilisée.operation:authenticationrecherche tous les événements au cours desquels un événement d’authentification a eu lieu.operation:createrecherche tous les événements au cours desquels une ressource a été créée.operation:modifyrecherche tous les événements au cours desquels une ressource existante a été modifiée.operation:removerecherche tous les événements au cours desquels une ressource existante a été supprimée.operation:restorerecherche tous les événements au cours desquels une ressource existante a été restaurée.operation:transferrecherche tous les événements au cours desquels une ressource existante a été transférée.
Recherche en fonction du dépôt
Utilisez le qualificateur repo pour limiter les actions à un dépôt spécifique. Par exemple :
repo:my-org/our-reporecherche tous les événements qui se sont produits pour le dépôtour-repodans l’organisationmy-org.repo:my-org/our-repo repo:my-org/another-reporecherche tous les événements qui se sont produits pour les dépôtsour-repoetanother-repodans l’organisationmy-org.-repo:my-org/not-this-repoexclut tous les événements qui se sont produits pour le dépôtnot-this-repodans l’organisationmy-org.
Notez que vous devez inclure le nom du compte dans le qualificateur repo. La recherche de repo:our-repo uniquement ne fonctionne pas.
Recherche en fonction de l’utilisateur
Le qualificateur actor peut délimiter l’étendue des événements en fonction de l’auteur de l’action. Par exemple :
actor:octocatrecherche tous les événements effectués paroctocat.actor:octocat actor:hubotrecherche tous les événements effectués paroctocatouhubot.-actor:hubotexclut tous les événements effectués parhubot.
Notez que vous pouvez uniquement utiliser un nom d’utilisateur GitHub Enterprise Cloud, et non le nom réel d’une personne.
Recherche basée sur l’action effectuée
Pour rechercher des événements spécifiques, utilisez le qualificateur action dans votre requête. Par exemple :
action:teamrecherche tous les événements regroupés dans la catégorie team.-action:hookexclut tous les événements de la catégorie webhook.
Chaque catégorie a un ensemble d’actions associées sur lesquelles vous pouvez filtrer. Par exemple :
action:team.createrecherche tous les événements ayant impliqué la création d’une équipe.-action:hook.events_changedexclut tous les événements ayant impliqué la modification des événements sur un webhook.
Les actions figurant dans le journal d’audit de votre entreprise sont regroupées dans les catégories suivantes :
| Nom de la catégorie | Description |
|---|---|
account | Contient des activités liées à un compte d’organisation. |
advisory_credit | Contient des activités liées au crédit d’un contributeur pour un avis de sécurité dans les données GitHub Advisory Database. Pour plus d’informations, consultez « About repository security advisories ». |
artifact | Contient des activités liées aux artefacts d’exécution de workflow GitHub Actions. |
audit_log_streaming | Contient des activités liées aux journaux d’audit de streaming pour les organisations dans un compte d’entreprise. |
billing | Contient des activités liées à la facturation d’une organisation. |
business | Contient des activités liées aux paramètres métier d’une entreprise. |
business_advanced_security | Contient les activités liées à GitHub Advanced Security dans une entreprise. Pour plus d’informations, consultez « Gestion des fonctionnalités GitHub Advanced Security pour votre entreprise ». |
business_secret_scanning | Contient les activités relatives à l’secret scanning dans une entreprise. Pour plus d’informations, consultez « Gestion des fonctionnalités GitHub Advanced Security pour votre entreprise ». |
business_secret_scanning_automatic_validity_checks | Contient les activités liées à l'activation ou à la désactivation des vérifications de validité automatiques pour secret scanning dans une entreprise. Pour plus d’informations, consultez « Gestion des fonctionnalités GitHub Advanced Security pour votre entreprise ». |
business_secret_scanning_custom_pattern | Contient les activités relatives aux modèles personnalisés pour l’secret scanning dans une entreprise. |
business_secret_scanning_custom_pattern_push_protection | Contient les activités relatives à la protection des poussées d’un modèle personnalisé pour l’secret scanning dans une entreprise. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ». |
business_secret_scanning_push_protection | Contient les activités relatives à la fonctionnalité de protection des poussées de l’secret scanning dans une entreprise. Pour plus d’informations, consultez « Gestion des fonctionnalités GitHub Advanced Security pour votre entreprise ». |
business_secret_scanning_push_protection_custom_message | Contient les activités relatives au message personnalisé affiché quand la protection des poussées est déclenchée dans une entreprise. Pour plus d’informations, consultez « Gestion des fonctionnalités GitHub Advanced Security pour votre entreprise ». |
checks | Contient des activités liées aux suites de vérifications et exécutions. |
codespaces | Contient des activités liées aux codespaces d’une organisation. |
commit_comment | Contient des activités liées à la mise à jour ou à la suppression des commentaires de validation. |
dependabot_alerts | Contient les activités de configuration au niveau de l’organisation pour les Dependabot alerts dans les référentiels existants. Pour plus d’informations, consultez « À propos des alertes Dependabot ». |
dependabot_alerts_new_repos | Contient des activités de configuration au niveau de l’organisation pour Dependabot alerts dans des nouveaux référentiels créés dans l’organisation. |
dependabot_repository_access | Contient des activités liées aux référentiels privés d’une organisation Dependabot auxquels l’accès est autorisé. |
dependabot_security_updates | Contient les activités de configuration au niveau de l’organisation pour les Dependabot security updates dans les dépôts existants. Pour plus d’informations, consultez « Configuration des mises à jour de sécurité Dependabot ». |
dependabot_security_updates_new_repos | Contient des activités de configuration au niveau de l’organisation pour Dependabot security updates pour les nouveaux référentiels créés dans l’organisation. |
dependency_graph | Contient des activités de configuration au niveau de l’organisation pour les graphes des dépendances pour les dépôts. Pour plus d’informations, consultez « À propos du graphe de dépendances ». |
dependency_graph_new_repos | Contient des activités de configuration au niveau de l’organisation pour les nouveaux référentiels créés dans l’organisation. |
dotcom_connection | Contient des activités liées à GitHub Connect. |
enterprise | Contient des activités liées aux paramètres d’entreprise. |
enterprise_domain | Contient des activités liées aux domaines d’entreprise vérifiés. |
enterprise_installation | Contient des activités liées aux GitHub Apps associés à une connexion d’entreprise GitHub Connect. |
environment | Contient des activités liées aux environnements GitHub Actions. |
hook | Contient toutes les activités liées aux webhooks. |
integration | Contient des activités liées aux intégrations dans un compte. |
integration_installation | Contient des activités liées aux intégrations installées dans un compte. |
integration_installation_request | Contient des activités liées aux demandes des membres de l’organisation pour que les propriétaires approuvent les intégrations à utiliser dans l’organisation. |
ip_allow_list | Contient des activités liées à l’activation ou à la désactivation de la liste d’autorisation des adresses IP pour une organisation. |
ip_allow_list_entry | Contient des activités liées à la création, à la suppression et à la modification d’une entrée de la liste d’autorisation des adresses IP pour une organisation. |
issue | Contient des activités liées à l’épinglage, au transfert ou à la suppression d’un problème dans un référentiel. |
issue_comment | Contient des activités liées à l’épinglage, au transfert ou à la suppression des commentaires de problème. |
issues | Contient des activités liées à l’activation ou à la désactivation de la création de problème pour une organisation. |
marketplace_agreement_signature | Contient des activités liées à la signature du Contrat du développeur GitHub Marketplace. |
marketplace_listing | Contient des activités liées à la liste des applications dans GitHub Marketplace. |
members_can_create_pages | Contient des activités liées à la gestion de la publication des sites GitHub Pages pour les référentiels de l’organisation. Pour plus d’informations, consultez « Gestion de la publication de sites GitHub Pages pour votre organisation ». |
members_can_create_private_pages | Contient des activités liées à la gestion de la publication de sites privés GitHub Pages pour les référentiels de l’organisation. |
members_can_create_public_pages | Contient des activités liées à la gestion de la publication des sites publiques GitHub Pages pour les référentiels de l’organisation. |
members_can_delete_repos | Contient des activités liées à l’activation ou à la désactivation de la création de référentiels pour une organisation. |
members_can_view_dependency_insights | Contient des activités de configuration au niveau de l’organisation permettant aux membres de l’organisation d’afficher les insights sur les dépendances. |
migration | Contient des activités liées au transfert de données à partir d’un emplacement source (comme une organisation GitHub.com ou une instance GitHub Enterprise Server) vers une instance GitHub Enterprise Server cible. |
oauth_access | Contient des activités liées aux jetons d’accès OAuth. |
oauth_application | Contient les activités liées aux OAuth apps. |
oauth_authorization | Contient des activités liées à l’autorisation des OAuth apps. |
org | Contient des activités liées à l’appartenance à l’organisation. |
org_credential_authorization | Contient des activités liées à l’autorisation des informations d’identification pour l’authentification unique SAML. |
org_secret_scanning_automatic_validity_checks | Contient les activités liées à l'activation ou à la désactivation des contrôles de validité automatiques pour secret scanning dans une organisation. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre organisation ». |
org_secret_scanning_custom_pattern | Contient les activités relatives aux modèles personnalisés pour l’secret scanning dans une organisation. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ». |
organization_default_label | Contient des activités liées aux étiquettes par défaut pour les référentiels d’une organisation. |
organization_domain | Contient des activités liées aux domaines d’organisation vérifiés. |
organization_projects_change | Contient des activités liées aux tableaux de projet à l’échelle de l’organisation dans une entreprise. |
pages_protected_domain | Contient des activités liées aux domaines personnalisés vérifiés pour GitHub Pages. |
payment_method | Contient des activités liées à la façon dont une organisation paie GitHub. |
prebuild_configuration | Contient des activités liées aux configurations de prébuild pour GitHub Codespaces. |
private_repository_forking | Contient des activités liées à l’autorisation des duplications (forks) de référentiels privés et internes, pour un référentiel, une organisation ou une entreprise. |
profile_picture | Contient des activités liées à l’image de profil d’une organisation. |
project | Contient des activités liées aux tableaux de projet. |
project_field | Contient des activités liées à la création et à la suppression de champs dans un tableau de projet. |
project_view | Contient des activités liées à la création et à la suppression d’affichages dans un tableau de projet. |
protected_branch | Contient des activités liées aux branches protégées. |
public_key | Contient des activités liées aux clés SSH et aux clés de déploiement. |
pull_request | Contient des activités liées aux demandes de tirage. |
pull_request_review | Contient des activités liées aux révisions de demande de tirage (pull request). |
pull_request_review_comment | Contient des activités liées aux commentaires de révision de demande de tirage (pull request). |
repo | Contient des activités liées aux dépôts appartenant à une organisation. |
repository_advisory | Contient des activités au niveau du référentiel liées aux avis de sécurité GitHub Advisory Database. Pour plus d’informations, consultez « About repository security advisories ». |
repository_content_analysis | Contient des activités liées à l’activation ou à la désactivation de l’utilisation des données pour un référentiel privé. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ». |
repository_dependency_graph | Contient des activités au niveau du référentiel liées à l’activation ou à la désactivation du graphique de dépendance pour un référentiel privé . Pour plus d’informations, consultez « À propos du graphe de dépendances ». |
repository_image | Contient des activités liées aux images d’un référentiel. |
repository_invitation | Contient des activités liées aux invitations à rejoindre un référentiel. |
repository_projects_change | Contient des activités liées à l’activation de projets pour un référentiel ou pour tous les référentiels d’une organisation. |
repository_secret_scanning | Contient des activités au niveau du dépôt liées à l’secret scanning. Pour plus d’informations, consultez « À propos de l’analyse des secrets ». |
repository_secret_scanning_automatic_validity_checks | Contient les activités liées à l'activation ou à la désactivation des vérifications de validité automatiques pour secret scanning dans un référentiel. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ». |
repository_secret_scanning_custom_pattern | Contient les activités relatives aux modèles personnalisés de l’secret scanning dans un dépôt. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ». |
repository_secret_scanning_custom_pattern_push_protection | Contient les activités relatives à la protection des poussées d’un modèle personnalisé pour l’secret scanning dans un dépôt. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ». |
repository_secret_scanning_push_protection | Contient les activités relatives à la fonctionnalité de protection des poussées de l’secret scanning dans un dépôt. Pour plus d’informations, consultez « Protection des poussées pour les référentiels et les organisations ». |
repository_visibility_change | Contient des activités liées au fait d’autoriser des membres de l’organisation à modifier les visibilités des référentiels pour l’organisation. |
repository_vulnerability_alert | Contient des activités liées aux Dependabot alerts. |
repository_vulnerability_alerts | Contient des activités de configuration au niveau du dépôt pour les Dependabot alerts. |
required_status_check | Contient des activités liées aux vérifications d’état requises pour les branches protégées. |
restrict_notification_delivery | Contient des activités liées à la restriction des notifications par e-mail aux domaines approuvés ou vérifiés pour une entreprise. |
role | Contient des activités liées aux rôles de dépôt personnalisés. |
secret_scanning | Contient des activités de configuration au niveau de l’organisation pour l’secret scanning dans les dépôts existants. Pour plus d’informations, consultez « À propos de l’analyse des secrets ». |
secret_scanning_new_repos | Contient des activités de configuration au niveau de l’organisation pour l’secret scanning pour les nouveaux dépôts créés dans l’organisation. |
security_key | Contient des activités liées à l’inscription et à la suppression des clés de sécurité. |
sponsors | Contient des événements liés aux boutons Parrainer (consultez « Affichage d’un bouton Sponsor dans votre dépôt »). |
ssh_certificate_authority | Contient des activités liées à une autorité de certification SSH dans une organisation ou une entreprise. |
ssh_certificate_requirement | Contient des activités liées à l’obligation pour les membres d’utiliser des certificats SSH pour accéder aux ressources de l’organisation. |
staff | Contient des activités liées à un administrateur de site effectuant une action. |
team | Contient des activités liées aux équipes dans un organisation. |
team_sync_tenant | Contient des activités liées à la synchronisation des équipes avec un fournisseur d'identité pour une entreprise ou une organisation. |
user | Contient des activités liées aux utilisateurs d’une organisation ou entreprise. |
user_license | Contient des activités liées à un utilisateur occupant un siège sous licence et faisant partie d’une entreprise. |
workflows | Contient des activités liées aux workflows GitHub Actions. |
Recherche basée sur l’heure de l’action
Utilisez le qualificateur created pour filtrer les événements du journal d’audit en fonction du moment où ils se sont produits.
La mise en forme de la date doit respecter la norme ISO8601, à savoir YYYY-MM-DD (année, mois, jour). Vous pouvez également ajouter des informations facultatives d’heure THH:MM:SS+00:00 après la date, pour rechercher par heure, minute et seconde. Il s’agit de T, suivi de HH:MM:SS (heures-minutes-secondes) et d’un décalage UTC (+00:00).
Lorsque vous recherchez une date, vous pouvez utiliser des qualificateurs supérieur à, inférieur à et de plage pour filtrer davantage les résultats. Pour plus d’informations, consultez « Compréhension de la syntaxe de recherche ».
Par exemple :
created:2014-07-08recherche tous les événements qui se sont produits le 8 juillet 2014.created:>=2014-07-08recherche tous les événements qui se sont produits le 8 juillet 2014 ou après cette date.created:<=2014-07-08recherche tous les événements qui se sont produits le 8 juillet 2014 ou avant cette date.created:2014-07-01..2014-07-31recherche tous les événements qui se sont produits en juillet 2014.
Rechercher basée sur l’emplacement
À l’aide du qualificateur country, vous pouvez filtrer les événements du journal d’audit en fonction du pays d’origine. Vous pouvez utiliser le code court à deux lettres ou le nom complet d’un pays. Les pays dont le nom contient des espaces doivent être placés entre guillemets. Par exemple :
country:derecherche tous les événements qui se sont produits en Allemagne.country:Mexicorecherche tous les événements qui se sont produits au Mexique.country:"United States"recherche tous les événements qui se sont produits aux États-Unis.
Recherche en fonction du jeton qui a effectué l’action
Utilisez le qualificateur hashed_token pour effectuer une recherche en fonction du jeton qui a effectué l’action. Avant de pouvoir rechercher un jeton, vous devez générer un hachage SHA-256. Pour plus d’informations, consultez « Identification des événements du journal d’audit effectués par un jeton d’accès ».