エンタープライズの監査ログの検索について
[フィルター] ドロップダウンを使用するか、検索クエリを入力して、ユーザー インターフェイスからエンタープライズの監査ログを直接検索できます。
エンタープライズの監査ログを表示する方法について詳しくは、「企業の監査ログにアクセスする」をご覧ください。
注: Git イベントは検索結果に含まれません。
API を使用して監査ログ イベントを取得することもできます。 詳しくは、「エンタープライズの監査ログ API を使う」を参照してください。
テキストを使用してエントリを検索することはできません。 ただし、さまざまなフィルターを使用すれば検索クエリを作成できます。 ログを検索するときに使用される多くの演算子 (-、>、< など) は、GitHub Enterprise Server 全体で検索するものと同じ形式です。 詳しくは、「GitHub での検索について」を参照してください。
注: 監査ログには、Enterprise に影響するアクティビティによってトリガーされるイベントの一覧が表示されます。 GitHub Enterprise Server の監査ログは、エンタープライズ所有者が別の保持期間を構成していない限り、無期限に保持されます。 詳細については、「エンタープライズの監査ログの構成」を参照してください
既定では、過去 3 か月のイベントのみが表示されます。 古いイベントを表示するには、created パラメーターを使って日付範囲を指定します。 詳しくは、「検索構文を理解する」を参照してください。
検索クエリ フィルター
| Assert | 説明 |
|---|---|
Yesterday's activity | 過去 1 日に作成されたすべてのアクション。 |
Enterprise account management | business カテゴリ内のすべてのアクション。 |
Organization membership | 新しいユーザーが組織に参加するように招待されたときのすべてのアクション。 |
Team management | チーム管理に関連するすべてのアクション。 - ユーザー アカウントまたはリポジトリがチームに追加またはチームから削除されたとき - チームの保守担当者が昇格または降格されたとき - チームが削除されたとき |
Repository management | リポジトリ管理のすべてのアクション。 - リポジトリが作成または削除されたとき - リポジトリの可視性が変更されたとき - チームがリポジトリに追加または削除されたとき |
Hook activity | Webhook と pre-receive フックのすべてのアクション。 |
Security management | SSH キー、デプロイ キー、セキュリティ キー、2FA、SAML シングル サインオン資格情報の承認、リポジトリの脆弱性アラートに関するすべてのアクション。 |
検索クエリ構文
AND/OR の論理演算子で区切られた 1 つ以上の key:value のペアから検索クエリを構成できます。 たとえば、2017 年の初めからリポジトリ octocat/Spoon-Knife に影響を与えたすべてのアクションを確認するには、次のようにします。
repo:"octocat/Spoon-Knife" AND created:>=2017-01-01
検索クエリで使用できる key:value ペアは次のとおりです。
| キー | 値 |
|---|---|
action | 監査対象のアクションの名前。 |
actor | アクションを開始したユーザー アカウントの名前。 actor_id |
カテゴリ別にグループ化されたアクションを表示するには、アクション修飾子を key:value ペアとして使用することもできます。 詳細については、「実行されたアクションに基づく検索」を参照してください。
エンタープライズの監査ログのアクションの完全な一覧については、「エンタープライズの監査ログ イベント」を参照してください。
Audit log を検索する
操作に基づく検索
operation 修飾子は、アクションを特定の操作の種類に限定するときに使ってください。 たとえば次のような点です。
operation:accessは、リソースがアクセスされたすべてのイベントを検索します。operation:authenticationは、認証イベントが実行されたすべてのイベントを検索します。operation:createは、リソースが作成されたすべてのイベントを検索します。operation:modifyは、既存のリソースが変更されたすべてのイベントを検索します。operation:removeは、既存のリソースが削除されたすべてのイベントを検索します。operation:restoreは、既存のリソースが復元されたすべてのイベントを検索します。operation:transferは、既存のリソースが移動されたすべてのイベントを検索します。
リポジトリに基づく検索
repo 修飾子は、アクションを特定のリポジトリに限定するときに使ってください。 たとえば次のような点です。
repo:my-org/our-repoは、my-org組織内のour-repoリポジトリで発生したすべてのイベントを検索します。repo:my-org/our-repo repo:my-org/another-repoは、my-org組織内のour-repoおよびanother-repoリポジトリで発生したすべてのイベントを検索します。-repo:my-org/not-this-repoは、my-org組織内のnot-this-repoリポジトリで発生したすべてのイベントを除外します。
repo 修飾子内にアカウント名を含める必要があります。repo:our-repo を検索するだけでは機能しません。
ユーザーに基づく検索
actor 修飾子は、アクションを実行した人に基づいてイベントの範囲を指定できます。 たとえば次のような点です。
actor:octocatはoctocatによって実行されたすべてのイベントを検索します。actor:octocat actor:hubotを使うと、octocatまたはhubotによって実行されたすべてのイベントを検索できます。-actor:hubotはhubotによって実行されたすべてのイベントを除外します。
使用できるのは GitHub Enterprise Server のユーザー名のみであり、個人の実名ではないことに注意してください。
実行されたアクションに基づく検索
特定のイベントを検索するには、クエリで action 修飾子を使用します。 次に例を示します。
action:teamは、チーム カテゴリ内でグループ化されたすべてのイベントを検索します。-action:hookは、Webhook カテゴリのすべてのイベントを除外します。
各カテゴリには、フィルタできる一連の関連アクションがあります。 次に例を示します。
action:team.createは、チームが作成されたすべてのイベントを検索します。-action:hook.events_changedは、Webhook 上のイベントが変更されたすべてのイベントを除外します。
エンタープライズの監査ログで検出できるアクションは、次のカテゴリにグループ化されます。
| カテゴリ名 | 説明
|------------------|------------------- | artifact | GitHub Actions ワークフロー実行成果物に関連するアクティビティが含まれます。 | audit_log_streaming | Enterprise アカウント内の Organization のストリーミング監査ログに関連するアクティビティが含まれます。 | business | Enterprise のビジネス設定に関連するアクティビティが含まれます。 | business_secret_scanning_custom_pattern | Enterprise 内のsecret scanningのカスタム パターンに関連するアクティビティが含まれます。 | checks | チェック スイートと実行に関連するアクティビティが含まれます。 | commit_comment | コミット コメントの更新または削除に関連するアクティビティが含まれます。 | config_entry | 構成設定に関連するアクティビティが含まれます。 これらのイベントは、サイト管理者の監査ログにのみ表示されます。 | dependabot_alerts | 既存のリポジトリの Dependabot alerts に対する組織レベルの構成アクティビティが含まれます。 詳しくは、「Dependabot アラートについて」を参照してください。
| dependabot_alerts_new_repos | Organization 内に作成された新しいリポジトリ内の Dependabot alerts に対する Organization レベルの構成アクティビティが含まれます。
| dependabot_repository_access | Organization Dependabot 内のどのプライベート リポジトリへのアクセスが許可されているかに関連するアクティビティが含まれます。 | dependabot_security_updates | 既存のリポジトリの Dependabot security updates に対する Organization レベルの構成アクティビティが含まれます。 詳しくは、「Configuring Dependabot security updates (Dependabot セキュリティ アップデートの構成)」を参照してください。
| dependabot_security_updates_new_repos | Organization 内に作成された新しいリポジトリ内の Dependabot security updates の Organization レベルの構成アクティビティが含まれます。 | dependency_graph | リポジトリの依存関係グラフの Organization レベルの設定アクティビティが含まれます。 詳しくは、「依存関係グラフについて」を参照してください。
| dependency_graph_new_repos | Organization 内に作成された新しいリポジトリの Organization レベルの構成アクティビティが含まれます。 | dotcom_connection | GitHub Connect に関連するアクティビティが含まれます。
| enterprise | Enterprise 設定に関連するアクティビティが含まれます。 | hook | Webhook に関連するアクティビティが含まれます。
| integration | アカウント内の統合に関連するアクティビティが含まれます。
| integration_installation | アカウント内にインストールされた統合に関連するアクティビティが含まれます。
| integration_installation_request | 所有者が Organaization 内で使用する統合を承認するように求める Organization メンバーの要求に関連するアクティビティが含まれます。 | issue | リポジトリ内の issue のピン留め、転送、または削除に関連するアクティビティが含まれます。
| issue_comment | issue コメントのピン留め、転送、または削除に関連するアクティビティが含まれます。
| issues | Organization の issue 作成の有効化または無効化に関連するアクティビティが含まれます。 | members_can_create_pages | Organization 内のリポジトリの GitHub Pages サイトの公開の管理に関連するアクティビティが含まれます。 詳しくは、「Organization の GitHub Pages サイトの公開を管理する」を参照してください。
| members_can_create_private_pages | Organization 内のリポジトリの GitHub Pages サイトの公開の管理に関連するアクティビティが含まれます。
| members_can_create_public_pages | Organization 内のリポジトリの公開の GitHub Pages サイトの公開の管理に関連するアクティビティが含まれます。 | members_can_delete_repos | Organization のリポジトリ作成の有効化または無効化に関連するアクティビティが含まれます。 | oauth_access | OAuth アクセス トークンに関連するアクティビティが含まれます。
| oauth_application | OAuth アプリに関連するアクティビティが含まれます。 | org | Organization メンバーシップに関連するアクティビティが含まれます。 | org_credential_authorization | SAML シングル サインオンで使用する資格情報の認可に関連するアクティビティが含まれます。 | org_secret_scanning_custom_pattern | Organization に secret scanning のカスタム パターンに関連するアクティビティが含まれます。 詳しくは、「シークレット スキャンのカスタム パターンの定義」を参照してください。 | organization_default_label |Organization のリポジトリのデフォルト ラベルに関連するアクティビティが含まれます。 | organization_domain | 検証済みの Organization ドメインに関連するアクティビティが含まれます。
| organization_projects_change | Enterprise 内の Organization 全体のプロジェクト ボードに関連するアクティビティが含まれます。 | pre_receive_environment | pre-receive フック環境に関連するアクティビティが含まれます。
| pre_receive_hook | pre-receive フックに関連するアクティビティが含まれます。 | private_instance_encryption | Enterprise のプライベート モードの有効化に関連するアクティビティが含まれます。 | private_repository_forking | リポジトリ、Organization、または Enterprise のプライベート リポジトリと内部リポジトリのフォークの許可に関連するアクティビティが含まれます。 | project | プロジェクト ボードに関連するアクティビティが含まれます。
| project_field | プロジェクト ボードでのフィールドの作成と削除に関連するアクティビティが含まれます。
| project_view | プロジェクト ボードでのビューの作成と削除に関連するアクティビティが含まれます。
| protected_branch | 保護されたブランチに関連するアクティビティが含まれます。
| public_key | SSH キーとデプロイ キーに関連するアクティビティが含まれます。
| pull_request | pull request に関連するアクティビティが含まれます。
| pull_request_review | pull request レビューに関連するアクティビティが含まれます。
| pull_request_review_comment | pull request レビュー コメントに関連するアクティビティが含まれます。
| repo | Organization が所有するリポジトリに関連するアクティビティが含まれます。 | repository_image | リポジトリの画像に関連するアクティビティが含まれます。
| repository_invitation | リポジトリに参加するための招待に関連するアクティビティが含まれます。
| repository_projects_change | リポジトリに対する、または Organaization 内のすべてのリポジトリに対する、プロジェクトの有効化に関連するアクティビティが含まれます。 | repository_secret_scanning | secret scanning に関連するリポジトリレベルのアクティビティが含まれます。 詳しくは、「シークレット スキャンについて」を参照してください。 | repository_secret_scanning_custom_pattern | リポジトリに secret scanning カスタム パターンに関連するアクティビティが含まれます。 詳しくは、「シークレット スキャンのカスタム パターンの定義」を参照してください。 | repository_secret_scanning_push_protection | リポジトリに secret scanning カスタム パターンに関連するアクティビティが含まれます。 詳しくは、「シークレット スキャンによるプッシュの保護」を参照してください。 | repository_vulnerability_alert | Dependabot alerts に関連するアクティビティが含まれます。 | restrict_notification_delivery | Enterprise の承認済みドメインまたは検証済みドメインへのメール通知の制限に関連するアクティビティが含まれます。 | role | カスタム リポジトリ ロールに関連するアクティビティが含まれます。 | secret_scanning | 既存のリポジトリ内の secret scanning に対する Organization レベルの構成アクティビティが含まれます。 詳しくは、「シークレット スキャンについて」を参照してください。
| secret_scanning_new_repos | Organization で作成された新しいリポジトリの secret scanning の Organization レベル構成が含まれます。 | security_key | セキュリティ キーの登録と削除に関連するアクティビティが含まれます。 | ssh_certificate_authority | Organaization または Enterprise の SSH 証明機関に関連するアクティビティが含まれます。
| ssh_certificate_requirement | メンバーが SSH 証明書を使用して Organaization リソースにアクセスすることを要求することに関連するアクティビティが含まれます。 | staff | アクションを実行するサイト管理者に関連するアクティビティが含まれます。
| team | 組織のチームに関連するアクティビティが含まれています。 | team_discussions | 組織のチーム ディスカッションの管理に関連するアクティビティが含まれています。 | two_factor_authentication | 2 要素認証に関連するアクティビティが含まれます。 | user | Enterprise または Organaization 内のユーザーに関連するアクティビティが含まれます。 | user_license | Enterprise のライセンスシートを使用し、Enterprise のメンバーであるユーザーに関連するアクティビティが含まれます。 | workflows | GitHub Actions ワークフローに関連するアクティビティが含まれます。
アクション時間に基づく検索
created 修飾子を使用して、発生した日時に基づいて監査ログ内のイベントをフィルター処理します。
日付の書式設定は、ISO8601 標準の YYYY-MM-DD (年-月-日) に従う必要があります。 日付の後にオプションの時刻情報 THH:MM:SS+00:00 を追加して、時間、分、秒で検索することもできます。 これは、T の後に HH:MM:SS (時-分-秒)、UTC オフセット (+00:00) が続きます。
日付に対して検索を行う場合、結果をさらにフィルタリングするためにより大きい、より小さい、範囲の修飾子を利用できます。 詳しくは、「検索構文を理解する」を参照してください。
次に例を示します。
created:2014-07-08は、2014 年 7 月 8 日に発生したすべてのイベントを検索します。created:>=2014-07-08は、2014 年 7 月 8 日またはそれ以降に発生したすべてのイベントを検索します。created:<=2014-07-08は、2014 年 7 月 8 日またはそれより前に発生したすべてのイベントを検索します。created:2014-07-01..2014-07-31は、2014 年 7 月の月に発生したすべてのイベントを検索します。
場所に基づく検索
修飾子 country を使用すると、発信元の国に基づいて監査ログ内のイベントをフィルター処理できます。 国の 2 文字の短いコードまたはフル ネームを使用できます。 名前に空白がある国は引用符で囲む必要があります。 次に例を示します。
country:deは、ドイツで発生したすべてのイベントを検索します。country:Mexicoは、メキシコで発生したすべてのイベントを検索します。country:"United States"は、米国で発生したすべてのイベントを検索します。