Skip to main content

Searching the audit log for your enterprise

You can search an extensive list of audited actions in your enterprise.

Who can use this feature

Enterprise owners and site administrators can search the audit log.

About search for the enterprise audit log

You can search your enterprise audit log directly from the user interface by using the Filters dropdown, or by typing a search query.

Search query

For more information about viewing your enterprise audit log, see "Accessing the audit log for your enterprise."

You can also use the API to retrieve audit log events. For more information, see "Using the audit log API for your enterprise."

You cannot search for entries using text. You can, however, construct search queries using a variety of filters. Many operators used when querying the log, such as -, >, or <, match the same format as searching across GitHub Enterprise Server. For more information, see "Searching on GitHub."

Note: 監査ログには、Enterprise に影響するアクティビティによってトリガーされるイベントの一覧が表示されます。 GitHub Enterprise Server の監査ログは、エンタープライズ所有者が別の保持期間を構成していない限り、無期限に保持されます。 詳しくは、「エンタープライズの監査ログの構成」を参照してください。

既定では、過去 3 か月のイベントのみが表示されます。 古いイベントを表示するには、created パラメーターを使って日付範囲を指定します。 詳細については、「Understanding the search syntax」 (検索構文の理解) を参照してください。

Search query filters

FilterDescription
Yesterday's activityAll actions created in the past day.
Enterprise account managementAll actions in the business category.
Organization membershipAll actions for when a new user was invited to join an organization.
Team managementAll actions related to team management.
- When a user account or repository was added or removed from a team
- When a team maintainer was promoted or demoted
- When a team was deleted
Repository managementAll actions for repository management.
- When a repository was created or deleted
- When the repository visibility was changed
- When a team was added or removed from a repository
Hook activityAll actions for webhooks and pre-receive hooks.
Security managementAll actions concerning SSH keys, deploy keys, security keys, 2FA, and SAML single sign-on credential authorization, and vulnerability alerts for repositories.

Search query syntax

You can compose a search query from one or more key:value pairs, separated by AND/OR logical operators. For example, to see all actions that have affected the repository octocat/Spoon-Knife since the beginning of 2017:

repo:"octocat/Spoon-Knife" AND created:>=2017-01-01

The key:value pairs that can be used in a search query are:

KeyValue
actor_idID of the user account that initiated the action
actorName of the user account that initiated the action
oauth_app_idID of the OAuth application associated with the action
actionName of the audited action
user_idID of the user affected by the action
userName of the user affected by the action
repo_idID of the repository affected by the action (if applicable)
repoName of the repository affected by the action (if applicable)
actor_ipIP address from which the action was initiated
createdTime at which the action occurred. If querying the audit log from the site admin dashboard, use created_at instead
fromView from which the action was initiated
noteMiscellaneous event-specific information (in either plain text or JSON format)
orgName of the organization affected by the action (if applicable)
org_idID of the organization affected by the action (if applicable)
businessName of the enterprise affected by the action (if applicable)
business_idID of the enterprise affected by the action (if applicable)

To see actions grouped by category, you can also use the action qualifier as a key:value pair. For more information, see "Search based on the action performed."

For a full list of actions in your enterprise audit log, see "Audit log actions for your enterprise."

Searching the audit log

操作に基づく検索

operation 修飾子は、アクションを特定の操作の種類に限定するときに使ってください。 たとえば次のような点です。

  • operation:access は、リソースがアクセスされたすべてのイベントを検索します。
  • operation:authentication は、認証イベントが実行されたすべてのイベントを検索します。
  • operation:create は、リソースが作成されたすべてのイベントを検索します。
  • operation:modify は、既存のリソースが変更されたすべてのイベントを検索します。
  • operation:remove は、既存のリソースが削除されたすべてのイベントを検索します。
  • operation:restore は、既存のリソースが復元されたすべてのイベントを検索します。
  • operation:transfer は、既存のリソースが移動されたすべてのイベントを検索します。

リポジトリに基づく検索

repo 修飾子は、アクションを特定のリポジトリに限定するときに使ってください。 たとえば次のような点です。

  • repo:my-org/our-repo は、my-org 組織内の our-repo リポジトリで発生したすべてのイベントを検索します。
  • repo:my-org/our-repo repo:my-org/another-repo は、my-org組織内の our-repo および another-repo リポジトリで発生したすべてのイベントを検索します。
  • -repo:my-org/not-this-repo は、my-org 組織内の not-this-repo リポジトリで発生したすべてのイベントを除外します。

repo 修飾子内にアカウント名を含める必要があります。repo:our-repo を検索するだけでは機能しません。

ユーザーに基づく検索

actor 修飾子は、アクションを実行した人に基づいてイベントの範囲を指定できます。 たとえば次のような点です。

  • actor:octocatoctocat によって実行されたすべてのイベントを検索します。
  • actor:octocat actor:hubotoctocat および hubot によって実行されたすべてのイベントを検索します。
  • -actor:hubothubot によって実行されたすべてのイベントを除外します。

使用できるのは GitHub Enterprise Server のユーザー名のみであり、個人の実名ではないことに注意してください。

Search based on the action performed

To search for specific events, use the action qualifier in your query. For example:

  • action:team finds all events grouped within the team category.
  • -action:hook excludes all events in the webhook category.

Each category has a set of associated actions that you can filter on. For example:

  • action:team.create finds all events where a team was created.
  • -action:hook.events_changed excludes all events where the events on a webhook have been altered.

Actions that can be found in your enterprise audit log are grouped within the following categories:

| カテゴリ名 | 説明 |------------------|------------------- | artifact | GitHub Actions ワークフロー実行成果物に関連するアクティビティが含まれます。 | business | Enterprise のビジネス設定に関連するアクティビティが含まれます。 | checks | チェック スイートと実行に関連するアクティビティが含まれます。 | commit_comment | コミット コメントの更新または削除に関連するアクティビティが含まれます。 | config_entry | 構成設定に関連するアクティビティが含まれます。 これらのイベントは、サイト管理者の監査ログにのみ表示されます。 | dependabot_alerts | 既存のリポジトリの Dependabot alerts に対する組織レベルの構成アクティビティが含まれます。 詳細については、「Dependabot alertsについて」を参照してください。 | dependabot_alerts_new_repos | Organization 内に作成された新しいリポジトリ内の Dependabot alerts に対する Organization レベルの構成アクティビティが含まれます。 | dependabot_repository_access | Organization Dependabot 内のどのプライベート リポジトリへのアクセスが許可されているかに関連するアクティビティが含まれます。 | dependabot_security_updates | 既存のリポジトリの Dependabot security updates に対する Organization レベルの構成アクティビティが含まれます。 詳細については、「Dependabot security updates の構成」を参照してください。 | dependabot_security_updates_new_repos | Organization 内に作成された新しいリポジトリ内の Dependabot security updates の Organization レベルの構成アクティビティが含まれます。 | dependency_graph | リポジトリの依存関係グラフの Organization レベルの設定アクティビティが含まれます。 詳細については、「依存関係グラフの概要」を参照してください。 | dependency_graph_new_repos | Organization 内に作成された新しいリポジトリの Organization レベルの構成アクティビティが含まれます。 | dotcom_connection | GitHub Connect に関連するアクティビティが含まれます。 | enterprise | Enterprise 設定に関連するアクティビティが含まれます。 | gist | Git に関連するアクティビティが含まれます。 | hook | Webhook に関連するアクティビティが含まれます。 | integration | アカウント内の統合に関連するアクティビティが含まれます。 | integration_installation | アカウント内にインストールされた統合に関連するアクティビティが含まれます。 | integration_installation_request | 所有者が Organaization 内で使用する統合を承認するように求める Organization メンバーの要求に関連するアクティビティが含まれます。 | issue | リポジトリ内の issue のピン留め、転送、または削除に関連するアクティビティが含まれます。 | issue_comment | issue コメントのピン留め、転送、または削除に関連するアクティビティが含まれます。 | issues | Organization の issue 作成の有効化または無効化に関連するアクティビティが含まれます。 | members_can_create_pages | Organization 内のリポジトリの GitHub Pages サイトの公開の管理に関連するアクティビティが含まれます。 詳細については、「Organization の GitHub Pages サイトの公開を管理する」を参照してください。 | members_can_create_private_pages | Organization 内のリポジトリの GitHub Pages サイトの公開の管理に関連するアクティビティが含まれます。 | members_can_create_public_pages | Organization 内のリポジトリの公開の GitHub Pages サイトの公開の管理に関連するアクティビティが含まれます。 | members_can_delete_repos | Organization のリポジトリ作成の有効化または無効化に関連するアクティビティが含まれます。 | oauth_access | OAuth アクセス トークンに関連するアクティビティが含まれます。 | oauth_application | OAuth アプリに関連するアクティビティが含まれます。 | org | Organization メンバーシップに関連するアクティビティが含まれます。 | org_credential_authorization | SAML シングル サインオンで使用する資格情報の認可に関連するアクティビティが含まれます。 | organization_default_label |Organization のリポジトリのデフォルト ラベルに関連するアクティビティが含まれます。 | organization_domain | 検証済みの Organization ドメインに関連するアクティビティが含まれます。 | organization_projects_change | Enterprise 内の Organization 全体のプロジェクト ボードに関連するアクティビティが含まれます。 | pre_receive_environment | pre-receive フック環境に関連するアクティビティが含まれます。 | pre_receive_hook | pre-receive フックに関連するアクティビティが含まれます。 | private_instance_encryption | Enterprise のプライベート モードの有効化に関連するアクティビティが含まれます。 | private_repository_forking | リポジトリ、Organization、または Enterprise のプライベート リポジトリと内部リポジトリのフォークの許可に関連するアクティビティが含まれます。 | project | プロジェクト ボードに関連するアクティビティが含まれます。 | project_field | プロジェクト ボードでのフィールドの作成と削除に関連するアクティビティが含まれます。 | project_view | プロジェクト ボードでのビューの作成と削除に関連するアクティビティが含まれます。 | protected_branch | 保護されたブランチに関連するアクティビティが含まれます。 | public_key | SSH キーとデプロイ キーに関連するアクティビティが含まれます。 | pull_request | pull request に関連するアクティビティが含まれます。 | pull_request_review | pull request レビューに関連するアクティビティが含まれます。 | pull_request_review_comment | pull request レビュー コメントに関連するアクティビティが含まれます。 | repo | Organization が所有するリポジトリに関連するアクティビティが含まれます。 | repository_image | リポジトリの画像に関連するアクティビティが含まれます。 | repository_invitation | リポジトリに参加するための招待に関連するアクティビティが含まれます。 | repository_projects_change | リポジトリに対する、または Organaization 内のすべてのリポジトリに対する、プロジェクトの有効化に関連するアクティビティが含まれます。 | repository_secret_scanning | シークレット スキャンに関連するリポジトリレベルのアクティビティが含まれます。 詳細については、「シークレット スキャンについて」を参照してください。 | repository_vulnerability_alert | Dependabot alerts に関連するアクティビティが含まれます。 | restrict_notification_delivery | Enterprise の承認済みドメインまたは検証済みドメインへのメール通知の制限に関連するアクティビティが含まれます。 | secret_scanning | 既存のリポジトリ内のシークレット スキャンに対する Organization レベルの構成アクティビティが含まれます。 詳細については、「シークレット スキャンについて」を参照してください。 | secret_scanning_new_repos | Organization 内に作成された新しいリポジトリ内のシークレット スキャンに対する Organization レベルの構成アクティビティが含まれます。 | security_key | セキュリティ キーの登録と削除に関連するアクティビティが含まれます。 | ssh_certificate_authority | Organaization または Enterprise の SSH 証明機関に関連するアクティビティが含まれます。 | ssh_certificate_requirement | メンバーが SSH 証明書を使用して Organaization リソースにアクセスすることを要求することに関連するアクティビティが含まれます。 | staff | アクションを実行するサイト管理者に関連するアクティビティが含まれます。 | team | Organization 内のチームに関連するアクティビティが含まれます。 | team_discussions | Organization のチーム ディスカッション管理に関連するアクティビティが含まれます。 | two_factor_authentication | 2 要素認証に関連するアクティビティが含まれます。 | user | Enterprise または Organaization 内のユーザーに関連するアクティビティが含まれます。 | user_license | Enterprise のライセンスシートを使用し、Enterprise のメンバーであるユーザーに関連するアクティビティが含まれます。 | workflows | GitHub Actions ワークフローに関連するアクティビティが含まれます。

Search based on time of action

Use the created qualifier to filter events in the audit log based on when they occurred.

日付の書式設定は、ISO8601 標準の YYYY-MM-DD (年-月-日) に従う必要があります。 日付の後にオプションの時刻情報 THH:MM:SS+00:00 を追加して、時間、分、秒で検索することもできます。 これは、T の後に HH:MM:SS (時-分-秒)、UTC オフセット (+00:00) が続きます。

日付に対して検索を行う場合、結果をさらにフィルタリングするためにより大きい、より小さい、範囲の修飾子を利用できます。 詳細については、「Understanding the search syntax」 (検索構文の理解) を参照してください。

For example:

  • created:2014-07-08 finds all events that occurred on July 8th, 2014.
  • created:>=2014-07-08 finds all events that occurred on or after July 8th, 2014.
  • created:<=2014-07-08 finds all events that occurred on or before July 8th, 2014.
  • created:2014-07-01..2014-07-31 finds all events that occurred in the month of July 2014.

Search based on location

Using the qualifier country, you can filter events in the audit log based on the originating country. You can use a country's two-letter short code or full name. Countries with spaces in their name will need to be wrapped in quotation marks. For example:

  • country:de finds all events that occurred in Germany.
  • country:Mexico finds all events that occurred in Mexico.
  • country:"United States" all finds events that occurred in the United States.