Skip to main content

このバージョンの GitHub Enterprise はこの日付をもって終了となりました: 2022-10-12. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise にアップグレードします。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせく� さい

エンタープライズの監査ログの検索

Enterprise で監査されたアクションの広範なリストを検索できます。

Who can use this feature

Enterprise owners and site administrators can search the audit log.

エンタープライズの監査ログの検索について

[フィルター] ドロップダウンを使用するか、検索クエリを入力して、ユーザー インターフェイスからエンタープライズの監査ログを直接検索できます。

Search query (検索クエリ)

エンタープライズの監査ログの表示の詳細については、「エンタープライズ監査ログへのアクセス」を参照してく� さい。

API を使用して監査ログ イベントを取得することもできます。 詳細については、「エンタープライズでの監査ログ API の使用」を参照してく� さい。

テキストを使用してエントリを検索することはできません。 た� し、さまざまなフィルターを使用すれば検索クエリを作成できます。 ログを検索するときに使用される多くの演算子 (->< など) は、GitHub Enterprise Server 全体で検索するものと同じ形式です。 詳細については、「GitHub 上での検索」を参照してく� さい。

: 監査ログには、Enterprise に影響するアクティビティによってトリガーされるイベントの一覧が表示されます。 GitHub Enterprise Server の監査ログは、エンタープライズ所有者が別の保持期間を構成していない限り。

既定では、過去 3 か月のイベントのみが表示されます。 古いイベントを表示するには、created パラメーターを使って日付範囲を指定します。 詳細については、「Understanding the search syntax」 (検索構文の理解) を参照してく� さい。

検索クエリ フィルター

Assert説明
Yesterday's activity過去 1 日に作成されたすべてのアクション。
Enterprise account managementbusiness カテゴリ内のすべてのアクション。
Organization membership新しいユーザーが組織に参� するように招待されたときのすべてのアクション。
Team managementチー� 管理に関連するすべてのアクション。
- ユーザー アカウントまたはリポジトリがチー� に追� またはチー� から削除されたとき
- チー� の保守担当者が昇� �または降� �されたとき
- チー� が削除されたとき
Repository managementリポジトリ管理のすべてのアクション。
- リポジトリが作成または削除されたとき
- リポジトリの可視性が変更されたとき
- チー� がリポジトリに追� または削除されたとき
Hook activityWebhook と pre-receive フックのすべてのアクション。
Security managementSSH キー、デプロイ キー、セキュリティ キー、2FA、SAML シングル サインオン資� �情� �の承認、リポジトリの脆弱性アラートに関するすべてのアクション。

検索クエリ構文

AND/OR の論理演算子で区切られた 1 つ以上の key:value のペアから検索クエリを構成できます。 たとえば、2017 年の初めからリポジトリ octocat/Spoon-Knife に影響を与えたすべてのアクションを確認するには、次のようにします。

repo:"octocat/Spoon-Knife" AND created:>=2017-01-01

検索クエリで使用できる key:value ペアは次のとおりです。

キー
actor_idアクションを開始したユーザアカウントの ID
actorアクションを開始したユーザアカウントの名前
oauth_app_idアクションに関連付けられている OAuth アプリケーションの ID
action監査されたアクションの名前
user_idアクションによって影響を受けたユーザの ID
userアクションによって影響を受けたユーザの名前
repo_idアクションによって影響を受けたリポジトリの ID (妥当な� �合)
repoアクションによって影響を受けたリポジトリの名前 (妥当な� �合)
actor_ipアクション元の IP アドレス
createdアクションが発生した時刻。 サイト管理者ダッシュボードから監査ログを照会する� �合は、代わりに created_at を使用します
fromアクション元の View
noteイベント固有の他の情� �(プレーンテキストまたは JSON フォーマット)
orgアクションによって影響を受けたOrganizationの名前(該当する� �合)
org_idアクションによって影響を受けたOrganizationの ID(該当する� �合)
businessアクションによって影響を受けたリポジトリの名前 (該当する� �合)
business_idアクションによって影響を受けたエンタープライズの ID (該当する� �合)

カテゴリ別にグループ化されたアクションを表示するには、アクション修飾子を key:value ペアとして使用することもできます。 詳細については、「実行されたアクションに基づく検索」を参照してく� さい。

エンタープライズの監査ログのアクションの完全な一覧については、「エンタープライズの監査ログ アクション」を参照してく� さい。

Audit log を検索する

操作に基づく検索

operation 修飾子は、アクションを特定の操作の種類に限定するときに使ってく� さい。 たとえば次のような点です。

  • operation:access は、リソースがアクセスされたすべてのイベントを検索します。
  • operation:authentication は、認証イベントが実行されたすべてのイベントを検索します。
  • operation:create は、リソースが作成されたすべてのイベントを検索します。
  • operation:modify は、既存のリソースが変更されたすべてのイベントを検索します。
  • operation:remove は、既存のリソースが削除されたすべてのイベントを検索します。
  • operation:restore は、既存のリソースが復元されたすべてのイベントを検索します。
  • operation:transfer は、既存のリソースが移動されたすべてのイベントを検索します。

リポジトリに基づく検索

repo 修飾子は、アクションを特定のリポジトリに限定するときに使ってく� さい。 たとえば次のような点です。

  • repo:my-org/our-repo は、my-org 組織内の our-repo リポジトリで発生したすべてのイベントを検索します。
  • repo:my-org/our-repo repo:my-org/another-repo は、my-org組織内の our-repo および another-repo リポジトリで発生したすべてのイベントを検索します。
  • -repo:my-org/not-this-repo は、my-org 組織内の not-this-repo リポジトリで発生したすべてのイベントを除外します。

repo 修飾子内にアカウント名を含める必要があります。repo:our-repo を検索する� けでは機能しません。

ユーザーに基づく検索

actor 修飾子は、アクションを実行した人に基づいてイベントの範囲を指定できます。 たとえば次のような点です。

  • actor:octocatoctocat によって実行されたすべてのイベントを検索します。
  • actor:octocat actor:hubotoctocat および hubot によって実行されたすべてのイベントを検索します。
  • -actor:hubothubot によって実行されたすべてのイベントを除外します。

使用できるのは GitHub Enterprise Server のユーザー名のみであり、個人の実名ではないことに注意してく� さい。

実行されたアクションに基づく検索

特定のイベントを検索するには、クエリで action 修飾子を使用します。 次に例を示します。

  • action:team は、チー�  カテゴリ内でグループ化されたすべてのイベントを検索します。
  • -action:hook は、Webhook カテゴリのすべてのイベントを除外します。

各カテゴリには、フィルタできる一連の関連アクションがあります。 次に例を示します。

  • action:team.create は、チー� が作成されたすべてのイベントを検索します。
  • -action:hook.events_changed は、Webhook 上のイベントが変更されたすべてのイベントを除外します。

エンタープライズの監査ログで検出できるアクションは、次のカテゴリにグループ化されます。

Category nameDescription
artifactContains activities related to GitHub Actions workflow run artifacts.
businessContains activities related to business settings for an enterprise.
checksContains activities related to check suites and runs.
commit_commentContains activities related to updating or deleting commit comments.
config_entryContains activities related to configuration settings. These events are only visible in the site admin audit log.
dependency_graphContains organization-level configuration activities for dependency graphs for repositories. For more information, see "About the dependency graph."
dependency_graph_new_reposContains organization-level configuration activities for new repositories created in the organization.
dotcom_connectionContains activities related to GitHub Connect.
enterpriseContains activities related to enterprise settings.
gistContains activities related to Gists.
hookContains activities related to webhooks.
integrationContains activities related to integrations in an account.
integration_installationContains activities related to integrations installed in an account.
integration_installation_requestContains activities related to organization member requests for owners to approve integrations for use in the organization.
issueContains activities related to pinning, transferring, or deleting an issue in a repository.
issue_commentContains activities related to pinning, transferring, or deleting issue comments.
issuesContains activities related to enabling or disabling issue creation for an organization.
members_can_create_pagesContains activities related to managing the publication of GitHub Pages sites for repositories in the organization. For more information, see "Managing the publication of GitHub Pages sites for your organization."
members_can_create_private_pagesContains activities related to managing the publication of private GitHub Pages sites for repositories in the organization.
members_can_create_public_pagesContains activities related to managing the publication of public GitHub Pages sites for repositories in the organization.
members_can_delete_reposContains activities related to enabling or disabling repository creation for an organization.
oauth_accessContains activities related to OAuth access tokens.
oauth_applicationContains activities related to OAuth Apps.
orgContains activities related to organization membership.
org_credential_authorizationContains activities related to authorizing credentials for use with SAML single sign-on.
organization_default_labelContains activities related to default labels for repositories in an organization.
organization_domainContains activities related to verified organization domains.
organization_projects_changeContains activities related to organization-wide project boards in an enterprise.
pre_receive_environmentContains activities related to pre-receive hook environments.
pre_receive_hookContains activities related to pre-receive hooks.
private_instance_encryptionContains activities related to enabling private mode for an enterprise.
private_repository_forkingContains activities related to allowing forks of private and internal repositories, for a repository, organization or enterprise.
projectContains activities related to project boards.
project_fieldContains activities related to field creation and deletion in a project board.
project_viewContains activities related to view creation and deletion in a project board.
protected_branchContains activities related to protected branches.
public_keyContains activities related to SSH keys and deploy keys.
pull_requestContains activities related to pull requests.
pull_request_reviewContains activities related to pull request reviews.
pull_request_review_commentContains activities related to pull request review comments.
repoContains activities related to the repositories owned by an organization.
repository_imageContains activities related to images for a repository.
repository_invitationContains activities related to invitations to join a repository.
repository_projects_changeContains activities related to enabling projects for a repository or for all repositories in an organization.
repository_secret_scanningContains repository-level activities related to secret scanning. For more information, see "About secret scanning."
repository_vulnerability_alertContains activities related to Dependabot alerts.
restrict_notification_deliveryContains activities related to the restriction of email notifications to approved or verified domains for an enterprise.
secret_scanningContains organization-level configuration activities for secret scanning in existing repositories. For more information, see "About secret scanning."
secret_scanning_new_reposContains organization-level configuration activities for secret scanning for new repositories created in the organization.
security_keyContains activities related to security keys registration and removal.
ssh_certificate_authorityContains activities related to a SSH certificate authority in an organization or enterprise.
ssh_certificate_requirementContains activities related to requiring members use SSH certificates to access organization resources.
staffContains activities related to a site admin performing an action.
teamContains activities related to teams in an organization.
team_discussionsContains activities related to managing team discussions for an organization.
two_factor_authenticationContains activities related to two-factor authentication.
userContains activities related to users in an enterprise or organization.
user_licenseContains activities related to a user occupying a licensed seat in, and being a member of, an enterprise.
workflowsContains activities related to GitHub Actions workflows.

アクション時間に基づく検索

created 修飾子を使用して、発生した日時に基づいて監査ログ内のイベントをフィルター処理します。

日付の書式設定は、ISO8601 標準の YYYY-MM-DD (年-月-日) に従う必要があります。 日付の後にオプションの時刻情� � THH:MM:SS+00:00 を追� して、時間、分、秒で検索することもできます。 これは、T の後に HH:MM:SS (時-分-秒)、UTC オフセット (+00:00) が続きます。

日付に対して検索を行う� �合、結果をさらにフィルタリングするためにより大きい、より小さい、範囲の修飾子を利用できます。 詳細については、「Understanding the search syntax」 (検索構文の理解) を参照してく� さい。

次に例を示します。

  • created:2014-07-08 は、2014 年 7 月 8 日に発生したすべてのイベントを検索します。
  • created:>=2014-07-08 は、2014 年 7 月 8 日またはそれ以降に発生したすべてのイベントを検索します。
  • created:<=2014-07-08 は、2014 年 7 月 8 日またはそれより前に発生したすべてのイベントを検索します。
  • created:2014-07-01..2014-07-31 は、2014 年 7 月の月に発生したすべてのイベントを検索します。

� �所に基づく検索

修飾子 country を使用すると、発信元の国に基づいて監査ログ内のイベントをフィルター処理できます。 国の 2 文字の短いコードまたはフル ネー� を使用できます。 名前に空白がある国は引用符で囲む必要があります。 次に例を示します。

  • country:de は、ドイツで発生したすべてのイベントを検索します。
  • country:Mexico は、メキシコで発生したすべてのイベントを検索します。
  • country:"United States" は、米国で発生したすべてのイベントを検索します。