Skip to main content

エンタープライズの監査ログの検索

Enterprise で監査されたアクションの広範なリストを検索できます。

この機能を使用できるユーザー

Enterprise owners can search the audit log.

エンタープライズの監査ログの検索について

[フィルター] ドロップダウンを使用するか、検索クエリを入力して、ユーザー インターフェイスからエンタープライズの監査ログを直接検索できます。

エンタープライズの監査ログを表示する方法について詳しくは、「企業の監査ログにアクセスする」をご覧ください。

注: Git イベントは検索結果に含まれません。

API を使用して監査ログ イベントを取得することもできます。 詳しくは、「エンタープライズの監査ログ API を使う」を参照してください。

テキストを使用してエントリを検索することはできません。 ただし、さまざまなフィルターを使用すれば検索クエリを作成できます。 ログを検索するときに使用される多くの演算子 (->< など) は、GitHub Enterprise Cloud 全体で検索するものと同じ形式です。 詳しくは、「GitHub での検索について」を参照してください。

: 監査ログには、Enterprise に影響するアクティビティによってトリガーされるイベントの一覧が表示されます (現在の月内および過去 6 か月間まで)。 監査ログには、Git イベントが 7 日間保持されます。

既定では、過去 3 か月のイベントのみが表示されます。 古いイベントを表示するには、created パラメーターを使って日付範囲を指定します。 詳しくは、「検索構文を理解する」を参照してください。

検索クエリ フィルター

Assert説明
Yesterday's activity過去 1 日に作成されたすべてのアクション。
Enterprise account managementbusiness カテゴリ内のすべてのアクション。
Organization membership新しいユーザーが組織に参加するように招待されたときのすべてのアクション。
Team managementチーム管理に関連するすべてのアクション。
- ユーザー アカウントまたはリポジトリがチームに追加またはチームから削除されたとき
- チームの保守担当者が昇格または降格されたとき
- チームが削除されたとき
Repository managementリポジトリ管理のすべてのアクション。
- リポジトリが作成または削除されたとき
- リポジトリの可視性が変更されたとき
- チームがリポジトリに追加または削除されたとき
Billing updatesGitHub と請求先の電子メール アドレスが変更された場合のエンタープライズの支払い方法に関するすべてのアクション。
Hook activityWebhook と pre-receive フックのすべてのアクション。
Security managementSSH キー、デプロイ キー、セキュリティ キー、2FA、SAML シングル サインオン資格情報の承認、リポジトリの脆弱性アラートに関するすべてのアクション。

検索クエリ構文

AND/OR の論理演算子で区切られた 1 つ以上の key:value のペアから検索クエリを構成できます。 たとえば、2017 年の初めからリポジトリ octocat/Spoon-Knife に影響を与えたすべてのアクションを確認するには、次のようにします。

repo:"octocat/Spoon-Knife" AND created:>=2017-01-01

検索クエリで使用できる key:value ペアは次のとおりです。

キー
action監査対象のアクションの名前。
actorアクションを開始したユーザー アカウントの名前。
createdアクションが発生した時刻。
countryアクションの実行時にアクターがいた国の名前。
country_codeアクションの実行時にアクターがいた国の 2 文字のショート コード。
hashed_tokenアクションの認証に使用されるトークン (該当する場合は、「アクセス トークンによって実行される監査ログ イベントの識別」を参照してください)。
ipアクターの IP アドレス。 operation
repository名前とアクションが発生したリポジトリの所有者 (octocat/octo-repo など)。
userアクションの影響を受けるユーザーの名前。

カテゴリ別にグループ化されたアクションを表示するには、アクション修飾子を key:value ペアとして使用することもできます。 詳細については、「実行されたアクションに基づく検索」を参照してください。

エンタープライズの監査ログのアクションの完全な一覧については、「Enterprise の監査ログ イベント」を参照してください。

Audit log を検索する

操作に基づく検索

operation 修飾子は、アクションを特定の操作の種類に限定するときに使ってください。 たとえば次のような点です。

  • operation:access は、リソースがアクセスされたすべてのイベントを検索します。
  • operation:authentication は、認証イベントが実行されたすべてのイベントを検索します。
  • operation:create は、リソースが作成されたすべてのイベントを検索します。
  • operation:modify は、既存のリソースが変更されたすべてのイベントを検索します。
  • operation:remove は、既存のリソースが削除されたすべてのイベントを検索します。
  • operation:restore は、既存のリソースが復元されたすべてのイベントを検索します。
  • operation:transfer は、既存のリソースが移動されたすべてのイベントを検索します。

リポジトリに基づく検索

repo 修飾子は、アクションを特定のリポジトリに限定するときに使ってください。 たとえば次のような点です。

  • repo:my-org/our-repo は、my-org 組織内の our-repo リポジトリで発生したすべてのイベントを検索します。
  • repo:my-org/our-repo repo:my-org/another-repo は、my-org組織内の our-repo および another-repo リポジトリで発生したすべてのイベントを検索します。
  • -repo:my-org/not-this-repo は、my-org 組織内の not-this-repo リポジトリで発生したすべてのイベントを除外します。

repo 修飾子内にアカウント名を含める必要があります。repo:our-repo を検索するだけでは機能しません。

ユーザーに基づく検索

actor 修飾子は、アクションを実行した人に基づいてイベントの範囲を指定できます。 たとえば次のような点です。

  • actor:octocatoctocat によって実行されたすべてのイベントを検索します。
  • actor:octocat actor:hubot を使うと、octocat または hubot によって実行されたすべてのイベントを検索できます。
  • -actor:hubothubot によって実行されたすべてのイベントを除外します。

使用できるのは GitHub Enterprise Cloud のユーザー名のみであり、個人の実名ではないことに注意してください。

実行されたアクションに基づく検索

特定のイベントを検索するには、クエリで action 修飾子を使用します。 次に例を示します。

  • action:team は、チーム カテゴリ内でグループ化されたすべてのイベントを検索します。
  • -action:hook は、Webhook カテゴリのすべてのイベントを除外します。

各カテゴリには、フィルタできる一連の関連アクションがあります。 次に例を示します。

  • action:team.create は、チームが作成されたすべてのイベントを検索します。
  • -action:hook.events_changed は、Webhook 上のイベントが変更されたすべてのイベントを除外します。

エンタープライズの監査ログで検出できるアクションは、次のカテゴリにグループ化されます。

カテゴリ名説明
accountOrganization アカウントに関連するアクティビティが含まれます。
advisory_creditGitHub Advisory Database のセキュリティ アドバイザリのコントリビューターのクレジットに関連するアクティビティが含まれます。 詳しくは、「About repository security advisories」を参照してください。
artifactGitHub Actions ワークフロー実行成果物に関連するアクティビティが含まれます。
audit_log_streamingEnterprise アカウント内の Organization のストリーミング監査ログに関連するアクティビティが含まれます。
billingOrganization の請求先に関連するアクティビティが含まれます。
businessEnterprise のビジネス設定に関連するアクティビティが含まれます。
business_advanced_securityエンタープライズ内の GitHub Advanced Security に関連するアクティビティが含まれます。 詳しくは、「Enterprise 用の GitHub Advanced Security 機能の管理」を参照してください。
business_secret_scanningエンタープライズ内の secret scanning に関連するアクティビティが含まれます。 詳しくは、「Enterprise 用の GitHub Advanced Security 機能の管理」を参照してください。
business_secret_scanning_custom_patternEnterprise 内のsecret scanningのカスタム パターンに関連するアクティビティが含まれます。
business_secret_scanning_custom_pattern_push_protection企業に secret scanning のカスタム パターンのプッシュ保護に関連するアクティビティが含まれます。 詳しくは、「シークレット スキャンのカスタム パターンの定義」を参照してください。
business_secret_scanning_push_protectionEnterprise 内のsecret scanningのプッシュ保護機能に関連するアクティビティが含まれます。 詳しくは、「Enterprise 用の GitHub Advanced Security 機能の管理」を参照してください。
business_secret_scanning_push_protection_custom_messageエンタープライズでプッシュ保護がトリガーされたときに表示されるカスタム メッセージに関連するアクティビティが含まれます。 詳しくは、「Enterprise 用の GitHub Advanced Security 機能の管理」を参照してください。
checksチェック スイートと実行に関連するアクティビティが含まれます。
codespacesOrganization の codespace に関連するアクティビティが含まれます。
commit_commentコミット コメントの更新または削除に関連するアクティビティが含まれます。
dependabot_alerts既存のリポジトリの Dependabot alerts に対する組織レベルの構成アクティビティが含まれます。 詳しくは、「Dependabot アラートについて」を参照してください。
dependabot_alerts_new_reposOrganization 内に作成された新しいリポジトリ内の Dependabot alerts に対する Organization レベルの構成アクティビティが含まれます。
dependabot_repository_accessOrganization Dependabot 内のどのプライベート リポジトリへのアクセスが許可されているかに関連するアクティビティが含まれます。
dependabot_security_updates既存のリポジトリの Dependabot security updates に対する Organization レベルの構成アクティビティが含まれます。 詳しくは、「Configuring Dependabot security updates (Dependabot セキュリティ アップデートの構成)」を参照してください。
dependabot_security_updates_new_reposOrganization 内に作成された新しいリポジトリ内の Dependabot security updates の Organization レベルの構成アクティビティが含まれます。
dependency_graphリポジトリの依存関係グラフの Organization レベルの設定アクティビティが含まれます。 詳しくは、「依存関係グラフについて」を参照してください。
dependency_graph_new_reposOrganization 内に作成された新しいリポジトリの Organization レベルの構成アクティビティが含まれます。
dotcom_connectionGitHub Connect に関連するアクティビティが含まれます。
enterpriseEnterprise 設定に関連するアクティビティが含まれます。
enterprise_domain検証済みの Enterprise ドメインに関連するアクティビティが含まれます。
enterprise_installationGitHub Connect エンタープライズ接続に関連付けられた GitHub Apps に関連するアクティビティが含まれます。
environmentGitHub Actions 環境に関連するアクティビティが含まれます。
hookWebhook に関連するアクティビティが含まれます。
integrationアカウント内の統合に関連するアクティビティが含まれます。
integration_installationアカウント内にインストールされた統合に関連するアクティビティが含まれます。
integration_installation_request所有者が Organaization 内で使用する統合を承認するように求める Organization メンバーの要求に関連するアクティビティが含まれます。
ip_allow_listOrganization の IP 許可リストの有効化または無効化に関連するアクティビティが含まれます。
ip_allow_list_entryOrganization の IP 許可リスト エントリの作成、削除、編集に関連するアクティビティが含まれます。
issueリポジトリ内の issue のピン留め、転送、または削除に関連するアクティビティが含まれます。
issue_commentissue コメントのピン留め、転送、または削除に関連するアクティビティが含まれます。
issuesOrganization の issue 作成の有効化または無効化に関連するアクティビティが含まれます。
marketplace_agreement_signatureGitHub Marketplace 開発者契約の署名に関連するアクティビティが含まれます。
marketplace_listingGitHub Marketplace のアプリの一覧表示に関連するアクティビティが含まれます。
members_can_create_pagesOrganization 内のリポジトリの GitHub Pages サイトの公開の管理に関連するアクティビティが含まれます。 詳しくは、「Organization の GitHub Pages サイトの公開を管理する」を参照してください。
members_can_create_private_pagesOrganization 内のリポジトリの GitHub Pages サイトの公開の管理に関連するアクティビティが含まれます。
members_can_create_public_pagesOrganization 内のリポジトリの公開の GitHub Pages サイトの公開の管理に関連するアクティビティが含まれます。
members_can_delete_reposOrganization のリポジトリ作成の有効化または無効化に関連するアクティビティが含まれます。
members_can_view_dependency_insightsOrganization メンバーが依存関係の分析情報を表示できるようにする Organization レベルの構成アクティビティが含まれます。
migrationソース の場所 (GitHub.com Organization、GitHub Enterprise Server インスタンスなど) から ターゲット の GitHub Enterprise Server インスタンスへのデータの転送に関連するアクティビティが含まれます。
oauth_accessOAuth アクセス トークンに関連するアクティビティが含まれます。
oauth_applicationOAuth apps に関連するアクティビティが含まれます。
oauth_authorizationOAuth apps の承認に関連するアクティビティが含まれます。
orgOrganization メンバーシップに関連するアクティビティが含まれます。
org_credential_authorizationSAML シングル サインオンで使用する資格情報の認可に関連するアクティビティが含まれます。
org_secret_scanning_custom_patternOrganization に secret scanning のカスタム パターンに関連するアクティビティが含まれます。 詳しくは、「シークレット スキャンのカスタム パターンの定義」を参照してください。
organization_default_labelOrganization のリポジトリのデフォルト ラベルに関連するアクティビティが含まれます。
organization_domain検証済みの Organization ドメインに関連するアクティビティが含まれます。
organization_projects_changeEnterprise 内の Organization 全体のプロジェクト ボードに関連するアクティビティが含まれます。
pages_protected_domainGitHub Pages の検証済みカスタム ドメインに関連するアクティビティが含まれます。
payment_methodOrganization が GitHub. に対して支払う方法に関連するアクティビティが含まれます。
prebuild_configurationGitHub Codespaces の事前ビルド構成に関連するアクティビティが含まれます。
private_repository_forkingリポジトリ、Organization、または Enterprise のプライベート リポジトリと内部リポジトリのフォークの許可に関連するアクティビティが含まれます。
profile_pictureOrganization のプロファイル画像に関連するアクティビティが含まれます。
projectプロジェクト ボードに関連するアクティビティが含まれます。
project_fieldプロジェクト ボードでのフィールドの作成と削除に関連するアクティビティが含まれます。
project_viewプロジェクト ボードでのビューの作成と削除に関連するアクティビティが含まれます。
protected_branch保護されたブランチに関連するアクティビティが含まれます。
public_keySSH キーとデプロイ キーに関連するアクティビティが含まれます。
pull_requestpull request に関連するアクティビティが含まれます。
pull_request_reviewpull request レビューに関連するアクティビティが含まれます。
pull_request_review_commentpull request レビュー コメントに関連するアクティビティが含まれます。
repoOrganization が所有するリポジトリに関連するアクティビティが含まれます。
repository_advisoryGitHub Advisory Database のセキュリティ アドバイザリに関連するリポジトリレベルのアクティビティが含まれます。 詳しくは、「About repository security advisories」を参照してください。
repository_content_analysisプライベート リポジトリのデータ使用の有効化または無効化に関連するアクティビティが含まれます。 詳しくは、「リポジトリのセキュリティと分析設定を管理する」を参照してください。
repository_dependency_graphプライベート リポジトリの依存関係グラフの有効化または無効化に関連するリポジトリレベルのアクティビティが含まれます。 詳しくは、「依存関係グラフについて」を参照してください。
repository_imageリポジトリの画像に関連するアクティビティが含まれます。
repository_invitationリポジトリに参加するための招待に関連するアクティビティが含まれます。
repository_projects_changeリポジトリに対する、または Organaization 内のすべてのリポジトリに対する、プロジェクトの有効化に関連するアクティビティが含まれます。
repository_secret_scanningsecret scanning に関連するリポジトリレベルのアクティビティが含まれます。 詳しくは、「シークレット スキャンについて」を参照してください。
repository_secret_scanning_custom_patternリポジトリに secret scanning カスタム パターンに関連するアクティビティが含まれます。 詳しくは、「シークレット スキャンのカスタム パターンの定義」を参照してください。
repository_secret_scanning_custom_pattern_push_protectionリポジトリに secret scanning のカスタム パターンのプッシュ保護に関連するアクティビティが含まれます。 詳しくは、「シークレット スキャンのカスタム パターンの定義」を参照してください。
repository_secret_scanning_push_protectionリポジトリに secret scanning のプッシュ保護機能に関連するアクティビティが含まれます。 詳しくは、「リポジトリと組織のプッシュ保護」を参照してください。
repository_visibility_changeOrganaization メンバーによる Organaization のリポジトリの可視性の変更許可に関連するアクティビティが含まれます。
repository_vulnerability_alertDependabot alerts に関連するアクティビティが含まれます。
repository_vulnerability_alertsDependabot alerts に対するリポジトリレベルの構成アクティビティが含まれます。
required_status_check保護されたブランチの必要な状態チェックに関連するアクティビティが含まれます。
restrict_notification_deliveryEnterprise の承認済みドメインまたは検証済みドメインへのメール通知の制限に関連するアクティビティが含まれます。
roleカスタム リポジトリ ロールに関連するアクティビティが含まれます。
secret_scanning既存のリポジトリ内の secret scanning に対する Organization レベルの構成アクティビティが含まれます。 詳しくは、「シークレット スキャンについて」を参照してください。
secret_scanning_new_reposOrganization で作成された新しいリポジトリの secret scanning の Organization レベル構成が含まれます。
security_keyセキュリティ キーの登録と削除に関連するアクティビティが含まれます。
sponsorsスポンサー ボタンに関連するイベントが含まれます (「リポジトリにスポンサーボタンを表示する」を参照)。
ssh_certificate_authorityOrganaization または Enterprise の SSH 証明機関に関連するアクティビティが含まれます。
ssh_certificate_requirementメンバーが SSH 証明書を使用して Organaization リソースにアクセスすることを要求することに関連するアクティビティが含まれます。
staffアクションを実行するサイト管理者に関連するアクティビティが含まれます。
team組織のチームに関連するアクティビティが含まれています。
team_sync_tenantエンタープライズまたは組織の IdP とのチーム同期に関連するアクティビティが含まれます。
userEnterprise または Organaization 内のユーザーに関連するアクティビティが含まれます。
user_licenseEnterprise のライセンスシートを使用し、Enterprise のメンバーであるユーザーに関連するアクティビティが含まれます。
workflowsGitHub Actions ワークフローに関連するアクティビティが含まれます。

アクション時間に基づく検索

created 修飾子を使用して、発生した日時に基づいて監査ログ内のイベントをフィルター処理します。

日付の書式設定は、ISO8601 標準の YYYY-MM-DD (年-月-日) に従う必要があります。 日付の後にオプションの時刻情報 THH:MM:SS+00:00 を追加して、時間、分、秒で検索することもできます。 これは、T の後に HH:MM:SS (時-分-秒)、UTC オフセット (+00:00) が続きます。

日付に対して検索を行う場合、結果をさらにフィルタリングするためにより大きい、より小さい、範囲の修飾子を利用できます。 詳しくは、「検索構文を理解する」を参照してください。

次に例を示します。

  • created:2014-07-08 は、2014 年 7 月 8 日に発生したすべてのイベントを検索します。
  • created:>=2014-07-08 は、2014 年 7 月 8 日またはそれ以降に発生したすべてのイベントを検索します。
  • created:<=2014-07-08 は、2014 年 7 月 8 日またはそれより前に発生したすべてのイベントを検索します。
  • created:2014-07-01..2014-07-31 は、2014 年 7 月の月に発生したすべてのイベントを検索します。

場所に基づく検索

修飾子 country を使用すると、発信元の国に基づいて監査ログ内のイベントをフィルター処理できます。 国の 2 文字の短いコードまたはフル ネームを使用できます。 名前に空白がある国は引用符で囲む必要があります。 次に例を示します。

  • country:de は、ドイツで発生したすべてのイベントを検索します。
  • country:Mexico は、メキシコで発生したすべてのイベントを検索します。
  • country:"United States" は、米国で発生したすべてのイベントを検索します。

アクションを実行したトークンに基づいて検索する

hashed_token 修飾子を使用して、アクションを実行したトークンに基づいて検索します。 トークンを検索する前に、SHA-256 ハッシュを生成する必要があります。 詳しくは、「アクセス トークンによって実行される監査ログ イベントの識別」を参照してください。