エンタープライズの監査ログの検索について
[フィルター] ドロップダウンを使用するか、検索クエリを入力して、ユーザー インターフェイスからエンタープライズの監査ログを直接検索できます。
エンタープライズの監査ログの表示の詳細については、「エンタープライズ監査ログへのアクセス」を参照してく� さい。
API を使用して監査ログ イベントを取得することもできます。 詳細については、「エンタープライズでの監査ログ API の使用」を参照してく� さい。
テキストを使用してエントリを検索することはできません。 た� し、さまざまなフィルターを使用すれば検索クエリを作成できます。 ログを検索するときに使用される多くの演算子 (-、>、< など) は、GitHub Enterprise Server 全体で検索するものと同じ形式です。 詳細については、「GitHub 上での検索」を参照してく� さい。
注: 監査ログには、Enterprise に影響するアクティビティによってトリガーされるイベントの一覧が表示されます。 GitHub Enterprise Server の監査ログは、エンタープライズ所有者が別の保持期間を構成していない限り。
既定では、過去 3 か月のイベントのみが表示されます。 古いイベントを表示するには、created パラメーターを使って日付範囲を指定します。 詳細については、「Understanding the search syntax」 (検索構文の理解) を参照してく� さい。
検索クエリ フィルター
| Assert | 説明 |
|---|---|
Yesterday's activity | 過去 1 日に作成されたすべてのアクション。 |
Enterprise account management | business カテゴリ内のすべてのアクション。 |
Organization membership | 新しいユーザーが組織に参� するように招待されたときのすべてのアクション。 |
Team management | チー� 管理に関連するすべてのアクション。 - ユーザー アカウントまたはリポジトリがチー� に追� またはチー� から削除されたとき - チー� の保守担当者が昇� �または降� �されたとき - チー� が削除されたとき |
Repository management | リポジトリ管理のすべてのアクション。 - リポジトリが作成または削除されたとき - リポジトリの可視性が変更されたとき - チー� がリポジトリに追� または削除されたとき |
Hook activity | Webhook と pre-receive フックのすべてのアクション。 |
Security management | SSH キー、デプロイ キー、セキュリティ キー、2FA、SAML シングル サインオン資� �情� �の承認、リポジトリの脆弱性アラートに関するすべてのアクション。 |
検索クエリ構文
AND/OR の論理演算子で区切られた 1 つ以上の key:value のペアから検索クエリを構成できます。 たとえば、2017 年の初めからリポジトリ octocat/Spoon-Knife に影響を与えたすべてのアクションを確認するには、次のようにします。
repo:"octocat/Spoon-Knife" AND created:>=2017-01-01
検索クエリで使用できる key:value ペアは次のとおりです。
| キー | 値 |
|---|---|
actor_id | アクションを開始したユーザアカウントの ID |
actor | アクションを開始したユーザアカウントの名前 |
oauth_app_id | アクションに関連付けられている OAuth アプリケーションの ID |
action | 監査されたアクションの名前 |
user_id | アクションによって影響を受けたユーザの ID |
user | アクションによって影響を受けたユーザの名前 |
repo_id | アクションによって影響を受けたリポジトリの ID (妥当な� �合) |
repo | アクションによって影響を受けたリポジトリの名前 (妥当な� �合) |
actor_ip | アクション元の IP アドレス |
created | アクションが発生した時刻。 サイト管理者ダッシュボードから監査ログを照会する� �合は、代わりに created_at を使用します |
from | アクション元の View |
note | イベント固有の他の情� �(プレーンテキストまたは JSON フォーマット) |
org | アクションによって影響を受けたOrganizationの名前(該当する� �合) |
org_id | アクションによって影響を受けたOrganizationの ID(該当する� �合) |
business | アクションによって影響を受けたリポジトリの名前 (該当する� �合) |
business_id | アクションによって影響を受けたエンタープライズの ID (該当する� �合) |
カテゴリ別にグループ化されたアクションを表示するには、アクション修飾子を key:value ペアとして使用することもできます。 詳細については、「実行されたアクションに基づく検索」を参照してく� さい。
エンタープライズの監査ログのアクションの完全な一覧については、「エンタープライズの監査ログ アクション」を参照してく� さい。
Audit log を検索する
操作に基づく検索
operation 修飾子は、アクションを特定の操作の種類に限定するときに使ってく� さい。 たとえば次のような点です。
operation:accessは、リソースがアクセスされたすべてのイベントを検索します。operation:authenticationは、認証イベントが実行されたすべてのイベントを検索します。operation:createは、リソースが作成されたすべてのイベントを検索します。operation:modifyは、既存のリソースが変更されたすべてのイベントを検索します。operation:removeは、既存のリソースが削除されたすべてのイベントを検索します。operation:restoreは、既存のリソースが復元されたすべてのイベントを検索します。operation:transferは、既存のリソースが移動されたすべてのイベントを検索します。
リポジトリに基づく検索
repo 修飾子は、アクションを特定のリポジトリに限定するときに使ってく� さい。 たとえば次のような点です。
repo:my-org/our-repoは、my-org組織内のour-repoリポジトリで発生したすべてのイベントを検索します。repo:my-org/our-repo repo:my-org/another-repoは、my-org組織内のour-repoおよびanother-repoリポジトリで発生したすべてのイベントを検索します。-repo:my-org/not-this-repoは、my-org組織内のnot-this-repoリポジトリで発生したすべてのイベントを除外します。
repo 修飾子内にアカウント名を含める必要があります。repo:our-repo を検索する� けでは機能しません。
ユーザーに基づく検索
actor 修飾子は、アクションを実行した人に基づいてイベントの範囲を指定できます。 たとえば次のような点です。
actor:octocatはoctocatによって実行されたすべてのイベントを検索します。actor:octocat actor:hubotはoctocatおよびhubotによって実行されたすべてのイベントを検索します。-actor:hubotはhubotによって実行されたすべてのイベントを除外します。
使用できるのは GitHub Enterprise Server のユーザー名のみであり、個人の実名ではないことに注意してく� さい。
実行されたアクションに基づく検索
特定のイベントを検索するには、クエリで action 修飾子を使用します。 次に例を示します。
action:teamは、チー� カテゴリ内でグループ化されたすべてのイベントを検索します。-action:hookは、Webhook カテゴリのすべてのイベントを除外します。
各カテゴリには、フィルタできる一連の関連アクションがあります。 次に例を示します。
action:team.createは、チー� が作成されたすべてのイベントを検索します。-action:hook.events_changedは、Webhook 上のイベントが変更されたすべてのイベントを除外します。
エンタープライズの監査ログで検出できるアクションは、次のカテゴリにグループ化されます。
| Category name | Description |
|---|---|
artifact | Contains activities related to GitHub Actions workflow run artifacts. |
business | Contains activities related to business settings for an enterprise. |
checks | Contains activities related to check suites and runs. |
commit_comment | Contains activities related to updating or deleting commit comments. |
config_entry | Contains activities related to configuration settings. These events are only visible in the site admin audit log. |
dependency_graph | Contains organization-level configuration activities for dependency graphs for repositories. For more information, see "About the dependency graph." |
dependency_graph_new_repos | Contains organization-level configuration activities for new repositories created in the organization. |
dotcom_connection | Contains activities related to GitHub Connect. |
enterprise | Contains activities related to enterprise settings. |
gist | Contains activities related to Gists. |
hook | Contains activities related to webhooks. |
integration | Contains activities related to integrations in an account. |
integration_installation | Contains activities related to integrations installed in an account. |
integration_installation_request | Contains activities related to organization member requests for owners to approve integrations for use in the organization. |
issue | Contains activities related to pinning, transferring, or deleting an issue in a repository. |
issue_comment | Contains activities related to pinning, transferring, or deleting issue comments. |
issues | Contains activities related to enabling or disabling issue creation for an organization. |
members_can_create_pages | Contains activities related to managing the publication of GitHub Pages sites for repositories in the organization. For more information, see "Managing the publication of GitHub Pages sites for your organization." |
members_can_create_private_pages | Contains activities related to managing the publication of private GitHub Pages sites for repositories in the organization. |
members_can_create_public_pages | Contains activities related to managing the publication of public GitHub Pages sites for repositories in the organization. |
members_can_delete_repos | Contains activities related to enabling or disabling repository creation for an organization. |
oauth_access | Contains activities related to OAuth access tokens. |
oauth_application | Contains activities related to OAuth Apps. |
org | Contains activities related to organization membership. |
org_credential_authorization | Contains activities related to authorizing credentials for use with SAML single sign-on. |
organization_default_label | Contains activities related to default labels for repositories in an organization. |
organization_domain | Contains activities related to verified organization domains. |
organization_projects_change | Contains activities related to organization-wide project boards in an enterprise. |
pre_receive_environment | Contains activities related to pre-receive hook environments. |
pre_receive_hook | Contains activities related to pre-receive hooks. |
private_instance_encryption | Contains activities related to enabling private mode for an enterprise. |
private_repository_forking | Contains activities related to allowing forks of private and internal repositories, for a repository, organization or enterprise. |
project | Contains activities related to project boards. |
project_field | Contains activities related to field creation and deletion in a project board. |
project_view | Contains activities related to view creation and deletion in a project board. |
protected_branch | Contains activities related to protected branches. |
public_key | Contains activities related to SSH keys and deploy keys. |
pull_request | Contains activities related to pull requests. |
pull_request_review | Contains activities related to pull request reviews. |
pull_request_review_comment | Contains activities related to pull request review comments. |
repo | Contains activities related to the repositories owned by an organization. |
repository_image | Contains activities related to images for a repository. |
repository_invitation | Contains activities related to invitations to join a repository. |
repository_projects_change | Contains activities related to enabling projects for a repository or for all repositories in an organization. |
repository_secret_scanning | Contains repository-level activities related to secret scanning. For more information, see "About secret scanning." |
repository_vulnerability_alert | Contains activities related to Dependabot alerts. |
restrict_notification_delivery | Contains activities related to the restriction of email notifications to approved or verified domains for an enterprise. |
secret_scanning | Contains organization-level configuration activities for secret scanning in existing repositories. For more information, see "About secret scanning." |
secret_scanning_new_repos | Contains organization-level configuration activities for secret scanning for new repositories created in the organization. |
security_key | Contains activities related to security keys registration and removal. |
ssh_certificate_authority | Contains activities related to a SSH certificate authority in an organization or enterprise. |
ssh_certificate_requirement | Contains activities related to requiring members use SSH certificates to access organization resources. |
staff | Contains activities related to a site admin performing an action. |
team | Contains activities related to teams in an organization. |
team_discussions | Contains activities related to managing team discussions for an organization. |
two_factor_authentication | Contains activities related to two-factor authentication. |
user | Contains activities related to users in an enterprise or organization. |
user_license | Contains activities related to a user occupying a licensed seat in, and being a member of, an enterprise. |
workflows | Contains activities related to GitHub Actions workflows. |
アクション時間に基づく検索
created 修飾子を使用して、発生した日時に基づいて監査ログ内のイベントをフィルター処理します。
日付の書式設定は、ISO8601 標準の YYYY-MM-DD (年-月-日) に従う必要があります。 日付の後にオプションの時刻情� � THH:MM:SS+00:00 を追� して、時間、分、秒で検索することもできます。 これは、T の後に HH:MM:SS (時-分-秒)、UTC オフセット (+00:00) が続きます。
日付に対して検索を行う� �合、結果をさらにフィルタリングするためにより大きい、より小さい、範囲の修飾子を利用できます。 詳細については、「Understanding the search syntax」 (検索構文の理解) を参照してく� さい。
次に例を示します。
created:2014-07-08は、2014 年 7 月 8 日に発生したすべてのイベントを検索します。created:>=2014-07-08は、2014 年 7 月 8 日またはそれ以降に発生したすべてのイベントを検索します。created:<=2014-07-08は、2014 年 7 月 8 日またはそれより前に発生したすべてのイベントを検索します。created:2014-07-01..2014-07-31は、2014 年 7 月の月に発生したすべてのイベントを検索します。
� �所に基づく検索
修飾子 country を使用すると、発信元の国に基づいて監査ログ内のイベントをフィルター処理できます。 国の 2 文字の短いコードまたはフル ネー� を使用できます。 名前に空白がある国は引用符で囲む必要があります。 次に例を示します。
country:deは、ドイツで発生したすべてのイベントを検索します。country:Mexicoは、メキシコで発生したすべてのイベントを検索します。country:"United States"は、米国で発生したすべてのイベントを検索します。