Skip to main content

このバージョンの GitHub Enterprise はこの日付をもって終了となります: 2022-09-28. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの改善、新機能のためには、最新バージョンのGitHub Enterpriseにアップグレードしてください。 アップグレードに関する支援については、GitHub Enterprise supportに連絡してください。

Searching the audit log for your enterprise

You can search an extensive list of audited actions in your enterprise.

Enterprise owners and site administrators can search the audit log.

About search for the enterprise audit log

You can search your enterprise audit log directly from the user interface by using the Filters dropdown, or by typing a search query.

検索クエリ

For more information about viewing your enterprise audit log, see "Accessing the audit log for your enterprise."

You can also use the API to retrieve audit log events. For more information, see "Using the audit log API for your enterprise."

You cannot search for entries using text. ただし、さまざまなフィルターを使用すれば検索クエリを作成できます。 ログを検索するときに使用される多くの演算子 (->< など) は、GitHub Enterprise Server 全体で検索するものと同じ形式です。 詳細は「GitHub での検索」を参照してください。

注釈: Audit logにはEnterpriseに影響するアクティビティによってトリガーされたイベントがリストされます。 GitHub Enterprise ServerのAudit logは無期限に保持されます。

デフォルトでは、過去3ヶ月のイベントのみが表示されます。 それよりも古いイベントを表示するには、createdパラメータでデータの範囲を指定しなければなりません。 詳しい情報については、「検索構文を理解する」を参照してください。

Search query filters

フィルタ説明
Yesterday's activityAll actions created in the past day.
Enterprise account managementAll actions in the business category.
Organization membershipAll actions for when a new user was invited to join an organization.
Team managementAll actions related to team management.
- When a user account or repository was added or removed from a team
- When a team maintainer was promoted or demoted
- When a team was deleted
Repository managementAll actions for repository management.
- When a repository was created or deleted
- When the repository visibility was changed
- When a team was added or removed from a repository
Hook activityAll actions for webhooks and pre-receive hooks.
Security managementAll actions concerning SSH keys, deploy keys, security keys, 2FA, and SAML single sign-on credential authorization, and vulnerability alerts for repositories.

検索クエリの構文

You can compose a search query from one or more key:value pairs, separated by AND/OR logical operators. たとえば、2017 年の初めからリポジトリ octocat/Spoon-Knife に影響を与えたすべてのアクションを確認するには、次のようにします:

repo:"octocat/Spoon-Knife" AND created:>=2017-01-01

The key:value pairs that can be used in a search query are:

キー
actor_idアクションを開始したユーザアカウントの ID
actorアクションを開始したユーザアカウントの名前
oauth_app_idアクションに関連付けられている OAuth アプリケーションの ID
action監査されたアクションの名前
user_idアクションによって影響を受けたユーザの ID
ユーザアクションによって影響を受けたユーザの名前
repo_idアクションによって影響を受けたリポジトリの ID (妥当な場合)
repoアクションによって影響を受けたリポジトリの名前 (妥当な場合)
actor_ipアクション元の IP アドレス
createdTime at which the action occurred. If querying the audit log from the site admin dashboard, use created_at instead
fromアクション元の View
noteイベント固有の他の情報(プレーンテキストまたは JSON フォーマット)
orgアクションによって影響を受けたOrganizationの名前(該当する場合)
org_idアクションによって影響を受けたOrganizationの ID(該当する場合)
businessName of the enterprise affected by the action (if applicable)
business_idID of the enterprise affected by the action (if applicable)

To see actions grouped by category, you can also use the action qualifier as a key:value pair. For more information, see "Search based on the action performed."

For a full list of actions in your enterprise audit log, see "Audit log actions for your enterprise."

Audit log を検索する

操作に基づく検索

operation修飾子は、アクションを特定の操作の種類に限定するときに使ってください。 例:

  • operation:accessは、リソースがアクセスされたすべてのイベントを見つけます。
  • operation:authenticationは認証イベントが生じたすべてのイベントを見つけます。
  • operation:createは、リソースが作成されたすべてのイベントを見つけます。
  • operation:modifyは、リソースが修正されたすべてのイベントを見つけます。
  • operation:removeは、既存のリソースが削除されたすべてのイベントを見つけます。
  • operation:restoreは、既存のリソースがリストアされたすべてのイベントを見つけます。
  • operation:transferは既存のリソースが移譲されたすべてのイベントを見つけます。

リポジトリに基づく検索

repo修飾子は、アクションを特定のリポジトリに限定するときに使ってください。 例:

  • repo:my-org/our-repomy-org Organization内のour-repoリポジトリで起きたすべてのイベントを検索します。
  • repo:my-org/our-repo repo:my-org/another-repoは、my-org Organization内のour-repo及びanother-repoの両リポジトリ内で起きたすべてのイベントを検索します。
  • -repo:my-org/not-this-repoは、my-org Organization内のnot-this-repoリポジトリで起きたすべてのイベントを除外します。

repo 修飾子内にアカウント名を加える必要があることに注意してください。 repo:our-repo だけを検索しても機能しません。

ユーザーに基づく検索

actor修飾子は、アクションを実行した人に基づいてイベントの範囲を指定できます。 例:

  • actor:octocatoctocatが行ったすべてのイベントを検索します。
  • actor:octocat actor:hubotは、octocat及びhubotが行ったすべてのイベントを検索します。
  • -actor:hubotは、hubotが行ったすべてのイベントを除外します。

使用できるのは GitHub Enterprise Server のユーザー名のみであり、個人の実名ではないことに注意してください。

実行されたアクションに基づく検索

特定のイベントを検索するには、クエリで action 修飾子を使用します。 例:

  • action:teamはteamカテゴリ内でグループ化されたすべてのイベントを検索します。
  • -action:hook は webhook カテゴリ内のすべてのイベントを除外します。

各カテゴリには、フィルタできる一連の関連アクションがあります。 例:

  • action:team.createはTeamが作成されたすべてのイベントを検索します。
  • -action:hook.events_changed は webhook の変更されたすべてのイベントを除外します。

Actions that can be found in your enterprise audit log are grouped within the following categories:

Category nameDescription
artifactContains activities related to GitHub Actions workflow run artifacts.
businessContains activities related to business settings for an enterprise.
businessContains activities related to business settings for an enterprise.
checksContains activities related to check suites and runs.
commit_commentContains activities related to updating or deleting commit comments.
config_entryContains activities related to configuration settings. These events are only visible in the site admin audit log.
dependency_graphContains organization-level configuration activities for dependency graphs for repositories. For more information, see "About the dependency graph."
dependency_graph_new_reposContains organization-level configuration activities for new repositories created in the organization.
dotcom_connectionContains activities related to GitHub Connect.
enterpriseContains activities related to enterprise settings.
gistContains activities related to Gists.
hookContains activities related to webhooks.
integrationContains activities related to integrations in an account.
integration_installationContains activities related to integrations installed in an account.
integration_installation_requestContains activities related to organization member requests for owners to approve integrations for use in the organization.
issueContains activities related to pinning, transferring, or deleting an issue in a repository.
issue_commentContains activities related to pinning, transferring, or deleting issue comments.
issuesContains activities related to enabling or disabling issue creation for an organization.
members_can_create_pagesContains activities related to managing the publication of GitHub Pages sites for repositories in the organization. For more information, see "Managing the publication of GitHub Pages sites for your organization."
members_can_create_private_pagesContains activities related to managing the publication of private GitHub Pages sites for repositories in the organization.
members_can_create_public_pagesContains activities related to managing the publication of public GitHub Pages sites for repositories in the organization.
members_can_delete_reposContains activities related to enabling or disabling repository creation for an organization.
oauth_accessContains activities related to OAuth access tokens.
oauth_applicationContains activities related to OAuth Apps.
orgContains activities related to organization membership.
org_credential_authorizationContains activities related to authorizing credentials for use with SAML single sign-on.
organization_default_labelContains activities related to default labels for repositories in an organization.
organization_domainContains activities related to verified organization domains.
organization_projects_changeContains activities related to organization-wide project boards in an enterprise.
pre_receive_environmentContains activities related to pre-receive hook environments.
pre_receive_hookContains activities related to pre-receive hooks.
private_instance_encryptionContains activities related to enabling private mode for an enterprise.
private_repository_forkingContains activities related to allowing forks of private and internal repositories, for a repository, organization or enterprise.
projectContains activities related to project boards.
project_fieldContains activities related to field creation and deletion in a project board.
project_viewContains activities related to view creation and deletion in a project board.
protected_branchContains activities related to protected branches.
public_keyContains activities related to SSH keys and deploy keys.
pull_requestContains activities related to pull requests.
pull_request_reviewContains activities related to pull request reviews.
pull_request_review_commentContains activities related to pull request review comments.
repoContains activities related to the repositories owned by an organization.
repository_imageContains activities related to images for a repository.
repository_invitationContains activities related to invitations to join a repository.
repository_projects_changeContains activities related to enabling projects for a repository or for all repositories in an organization.
repository_secret_scanningContains repository-level activities related to secret scanning. For more information, see "About secret scanning."
repository_vulnerability_alertContains activities related to Dependabotアラート.
restrict_notification_deliveryContains activities related to the restriction of email notifications to approved or verified domains for an enterprise.
secret_scanningContains organization-level configuration activities for secret scanning in existing repositories. For more information, see "About secret scanning."
secret_scanning_new_reposContains organization-level configuration activities for secret scanning for new repositories created in the organization.
security_keyContains activities related to security keys registration and removal.
ssh_certificate_authorityContains activities related to a SSH certificate authority in an organization or enterprise.
ssh_certificate_requirementContains activities related to requiring members use SSH certificates to access organization resources.
staffContains activities related to a site admin performing an action.
teamContains activities related to teams in an organization.
team_discussionsContains activities related to managing team discussions for an organization.
two_factor_authenticationContains activities related to two-factor authentication.
userContains activities related to users in an enterprise or organization.
user_licenseContains activities related to a user occupying a licensed seat in, and being a member of, an enterprise.
workflowsContains activities related to GitHub Actions workflows.

アクション時間に基づく検索

created 修飾子を使用して、行われた日時に基づいて Audit log 内のイベントをフィルタします。

日付の形式は ISO8601標準に従い、YYYY-MM-DD(年-月-日) とする必要があります。 オプションの時間情報のTHH:MM:SS+00:00を日付の後に付けて、時、分、秒で検索できるようにすることもできます。 これはTの後にHH:MM:SS(時-分-秒)、そしてUTCオフセット(+00:00)を続けたものです。

日付に対して検索を行う場合、結果をさらにフィルタリングするためにより大きい、より小さい、範囲の修飾子を利用できます。 詳しい情報については、「検索構文を理解する」を参照してください。

例:

  • created:2014-07-08 は、2014 年 7 月 8 日に発生したイベントをすべて検索します。
  • created:>=2014-07-08 は、2014 年 7 月 8 日かそれ以降に生じたすべてのイベントを検索します。
  • created:<=2014-07-08は、2014 年 7 月 8 日かそれ以前に生じたすべてのイベントを検索します。
  • created:2014-07-01..2014-07-31は、2014 年 7 月に起きたすべてのイベントを検索します。

場所に基づく検索

修飾子 country を使用すれば、発信元の国に基づいて Audit log 内のイベントをフィルタリングできます。 You can use a country's two-letter short code or full name. Countries with spaces in their name will need to be wrapped in quotation marks. 例:

  • country:de は、ドイツで発生したイベントをすべて検索します。
  • country:Mexico はメキシコで発生したすべてのイベントを検索します。
  • country:"United States" はアメリカ合衆国で発生したすべてのイベントを検索します。