Skip to main content

Searching the audit log for your enterprise

You can search an extensive list of audited actions in your enterprise.

Who can use this feature

Enterprise owners can search the audit log.

About search for the enterprise audit log

You can search your enterprise audit log directly from the user interface by using the Filters dropdown, or by typing a search query.

Search query

For more information about viewing your enterprise audit log, see "Accessing the audit log for your enterprise."

Observação: os eventos Git não estão incluídos nos resultados da pesquisa.

You can also use the API to retrieve audit log events. For more information, see "Using the audit log API for your enterprise."

You cannot search for entries using text. You can, however, construct search queries using a variety of filters. Many operators used when querying the log, such as -, >, or <, match the same format as searching across GitHub Enterprise Cloud. For more information, see "Searching on GitHub."

Note: O log de auditoria lista os eventos disparados por atividades que afetam sua empresa dentro do mês atual e até os seis meses anteriores. O log de auditoria mantém os eventos do Git por sete dias.

Por padrão, são exibidos apenas os eventos dos últimos três meses. Para ver eventos mais antigos, você deve especificar um intervalo de datas com o parâmetro created. Para obter mais informações, confira "Noções básicas sobre a sintaxe de pesquisa".

Search query filters

FilterDescription
Yesterday's activityAll actions created in the past day.
Enterprise account managementAll actions in the business category.
Organization membershipAll actions for when a new user was invited to join an organization.
Team managementAll actions related to team management.
- When a user account or repository was added or removed from a team
- When a team maintainer was promoted or demoted
- When a team was deleted
Repository managementAll actions for repository management.
- When a repository was created or deleted
- When the repository visibility was changed
- When a team was added or removed from a repository
Billing updatesAll actions concerning how your enterprise pays for GitHub and for when your billing email address was changed.
Hook activityAll actions for webhooks and pre-receive hooks.
Security managementAll actions concerning SSH keys, deploy keys, security keys, 2FA, and SAML single sign-on credential authorization, and vulnerability alerts for repositories.

Search query syntax

You can compose a search query from one or more key:value pairs, separated by AND/OR logical operators. For example, to see all actions that have affected the repository octocat/Spoon-Knife since the beginning of 2017:

repo:"octocat/Spoon-Knife" AND created:>=2017-01-01

The key:value pairs that can be used in a search query are:

KeyValue
actor_idID of the user account that initiated the action
actorName of the user account that initiated the action
oauth_app_idID of the OAuth application associated with the action
actionName of the audited action
user_idID of the user affected by the action
userName of the user affected by the action
repo_idID of the repository affected by the action (if applicable)
repoName of the repository affected by the action (if applicable)
actor_ipIP address from which the action was initiated
createdTime at which the action occurred
fromView from which the action was initiated
noteMiscellaneous event-specific information (in either plain text or JSON format)
orgName of the organization affected by the action (if applicable)
org_idID of the organization affected by the action (if applicable)
businessName of the enterprise affected by the action (if applicable)
business_idID of the enterprise affected by the action (if applicable)
hashed_tokenThe token used to authenticate for the action (if applicable, see "Identifying audit log events performed by an access token")

To see actions grouped by category, you can also use the action qualifier as a key:value pair. For more information, see "Search based on the action performed."

For a full list of actions in your enterprise audit log, see "Audit log actions for your enterprise."

Searching the audit log

Pesquisar com base em operação

Use o qualificador operation para limitar as ações a tipos específicos de operações. Por exemplo:

  • operation:access localiza todos os eventos em que um recurso foi acessado.
  • operation:authentication localiza todos os eventos em que um evento de autenticação foi realizado.
  • operation:create localiza todos os eventos em que um recurso foi criado.
  • operation:modify localiza todos os eventos em que um recurso existente foi modificado.
  • operation:remove localiza todos os eventos em que um recurso existente foi removido.
  • operation:restore localiza todos os eventos em que um recurso existente foi restaurado.
  • operation:transfer localiza todos os eventos em que um recurso existente foi transferido.

Pesquisar com base no repositório

Use o qualificador repo para limitar as ações a um repositório específico. Por exemplo:

  • repo:my-org/our-repo localiza todos os eventos que ocorreram no repositório our-repo na organização my-org.
  • repo:my-org/our-repo repo:my-org/another-repo localiza todos os eventos que ocorreram nos repositórios our-repo e another-repo na organização my-org.
  • -repo:my-org/not-this-repo exclui todos os eventos que ocorreram no repositório not-this-repo na organização my-org.

Observe que você precisa incluir o nome da conta dentro do qualificador repo. A pesquisa de apenas repo:our-repo não funcionará.

Pesquisar com base no usuário

O qualificador actor pode definir o escopo de eventos com base no autor da ação. Por exemplo:

  • actor:octocat localiza todos os eventos realizados por octocat.
  • actor:octocat actor:hubot localiza todos os eventos realizados por octocat e hubot.
  • -actor:hubot exclui todos os eventos realizados por hubot.

Observe que só é possível usar um nome de usuário do GitHub Enterprise Cloud, e não o nome verdadeiro da pessoa.

Search based on the action performed

To search for specific events, use the action qualifier in your query. For example:

  • action:team finds all events grouped within the team category.
  • -action:hook excludes all events in the webhook category.

Each category has a set of associated actions that you can filter on. For example:

  • action:team.create finds all events where a team was created.
  • -action:hook.events_changed excludes all events where the events on a webhook have been altered.

Actions that can be found in your enterprise audit log are grouped within the following categories:

| Nome da categoria | Descrição |------------------|------------------- | account | Contém atividades relacionadas a uma conta da organização. | advisory_credit | Contém atividades relacionadas ao crédito de um colaborador de uma consultoria de segurança no GitHub Advisory Database. Para obter mais informações, confira "Sobre os avisos de segurança do GitHub". | artifact | Contém atividades relacionadas aos artefatos de execução de fluxo de trabalho do GitHub Actions. | audit_log_streaming | Contém atividades relacionadas aos logs de auditoria de streaming para organizações em uma conta corporativa. | billing | Contém atividades relacionadas à cobrança de uma organização. | business | Contém atividades relacionadas às configurações corporativas de uma empresa. | business_advanced_security | Contém as atividades relacionadas ao GitHub Advanced Security em uma empresa. Para obter mais informações, confira "Como gerenciar os recursos do GitHub Advanced Security na empresa". | business_secret_scanning | Contém as atividades relacionadas a secret scanning em uma empresa. Para obter mais informações, confira "Como gerenciar os recursos do GitHub Advanced Security na empresa". | business_secret_scanning_custom_pattern | Contém atividades relacionadas aos padrões de secret scanning em uma empresa. | business_secret_scanning_push_protection | Contém as atividades relacionadas ao recurso de proteção contra push do secret scanning em uma empresa. Para obter mais informações, confira "Como gerenciar os recursos do GitHub Advanced Security na empresa". | business_secret_scanning_push_protection_custom_message | Contém as atividades relacionadas à mensagem personalizada exibida quando a proteção contra push é disparada em uma empresa. Para obter mais informações, confira "Como gerenciar os recursos do GitHub Advanced Security na empresa". | checks | Contém atividades relacionadas aos pacotes de verificação e às execuções. | codespaces | Contém atividades relacionadas aos codespaces de uma organização. | commit_comment | Contém atividades relacionadas à atualização ou à exclusão de comentários de commit. | dependabot_alerts | Contém as atividades de configuração no nível da organização para Dependabot alerts em repositórios existentes. Para obter mais informações, confira "Sobre os Dependabot alerts". | dependabot_alerts_new_repos | Contém atividades de configuração no nível da organização para Dependabot alerts em novos repositórios criados na organização. | dependabot_repository_access | Contém atividades relacionadas aos repositórios privados de uma organização que o Dependabot tem permissão para acessar. | dependabot_security_updates | Contém as atividades de configuração no nível da organização para Dependabot security updates nos repositórios existentes. Para obter mais informações, confira "Como configurar Dependabot security updates". | dependabot_security_updates_new_repos | Contém atividades de configuração de nível da organização nas Dependabot security updates para os repositórios criados na organização. | dependency_graph | Contém atividades de configuração no nível da organização dos grafos de dependências nos repositórios. Para obter mais informações, confira "Sobre o grafo de dependência". | dependency_graph_new_repos | Contém atividades de configuração no nível da organização para novos repositórios criados na organização. | discussion | Contém atividades relacionadas às discussões da equipe. | discussion_comment | Contém atividades relacionadas aos comentários postados em discussões em uma página da equipe. | discussion_post | Contém atividades relacionadas às discussões postadas em uma página da equipe. | discussion_post_reply | Contém atividades relacionadas às respostas de discussões postadas em uma página da equipe. | dotcom_connection | Contém atividades relacionadas ao GitHub Connect. | enterprise | Contém atividades relacionadas às configurações da empresa. | enterprise_domain | Contém atividades relacionadas aos domínios corporativos verificados. | enterprise_installation | Contém atividades relacionadas aos GitHub Apps associados a uma conexão corporativa do GitHub Connect. | environment | Contém atividades relacionadas a ambientes do GitHub Actions. | gist | Contém atividades relacionadas ao Gists. | hook | Contém atividades relacionadas a webhooks. | integration | Contém atividades relacionadas às integrações de uma conta. | integration_installation | Contém atividades relacionadas às integrações instaladas em uma conta. | integration_installation_request | Contém atividades relacionadas às solicitações de membros da organização para proprietários aprovarem integrações para uso na organização. | ip_allow_list | Contém atividades relacionadas à habilitação ou à desabilitação da lista de permissões de IP para uma organização. | ip_allow_list_entry | Contém atividades relacionadas à criação, à exclusão e à edição de uma entrada na lista de permissões de IP para uma organização. | issue | Contém atividades relacionadas à fixação, à transferência ou à exclusão de um problema em um repositório. | issue_comment | Contém atividades relacionadas à fixação, à transferência ou à exclusão de comentários em um problema. | issues | Contém atividades relacionadas à habilitação ou à desabilitação da criação de problemas para uma organização. | marketplace_agreement_signature | Contém atividades relacionadas à assinatura do Contrato de Desenvolvedor do GitHub Marketplace. | marketplace_listing | Contém atividades relacionadas aos aplicativos de listagem do GitHub Marketplace. | members_can_create_pages | Contém atividades relacionadas ao gerenciamento da publicação de sites do GitHub Pages para repositórios na organização. Para obter mais informações, confira "Como gerenciar a publicação de sites do GitHub Pages para sua organização". | members_can_create_private_pages | Contém atividades relacionadas ao gerenciamento da publicação de sites privados do GitHub Pages para repositórios na organização. | members_can_create_public_pages | Contém atividades relacionadas ao gerenciamento da publicação de sites públicos do GitHub Pages para repositórios na organização. | members_can_delete_repos | Contém atividades relacionadas à habilitação ou à desabilitação da criação de repositórios para uma organização. | members_can_view_dependency_insights | Contém atividades de configuração no nível da organização que permitem que os membros da organização vejam insights de dependência. | migration | Contém atividades relacionadas à transferência de dados de um local de origem (como uma organização do GitHub.com ou uma instância do GitHub Enterprise Server) para uma instância de destino do GitHub Enterprise Server. | oauth_access | Contém atividades relacionadas aos tokens de acesso OAuth. | oauth_application | Contém atividades relacionadas aos Aplicativos OAuth. | oauth_authorization | Contém atividades relacionadas à autorização de Aplicativos OAuth. | org | Contém atividades relacionadas à associação a uma organização. | org_credential_authorization | Contém atividades relacionadas à autorização de credenciais para uso com o logon único do SAML. | org_secret_scanning_custom_pattern | Contém atividades relacionadas aos padrões personalizados para a verificação de segredos em uma organização. Para obter mais informações, confira "Como definir padrões personalizados para a verificação de segredos". | org.secret_scanning_push_protection | Contém atividades relacionadas aos padrões personalizados de verificação de segredos em uma organização. Para obter mais informações, confira "Como proteger os pushes com a verificação de segredos". | organization_default_label | Contém atividades relacionadas aos rótulos padrão em uma organização. | organization_domain |Contém atividades relacionadas aos domínios da organização verificados. | organization_projects_change | Contém atividades relacionadas aos quadros de projetos de toda a organização em uma empresa. | pages_protected_domain | Contém atividades relacionadas aos domínios personalizados verificados do GitHub Pages. | payment_method | Contém atividades relacionadas à forma de pagamento do GitHub de uma organização. | prebuild_configuration | Contém atividades relacionadas às configurações de pré-build do GitHub Codespaces. | private_repository_forking | Contém atividades relacionadas à permissão de forks de repositórios privados e internos para um repositório, uma organização ou uma empresa. | profile_picture | Contém atividades relacionadas à imagem de perfil de uma organização. | project | Contém atividades relacionadas aos quadros de projetos. | project_field | Contém atividades relacionadas à criação e à exclusão de campos em um quadro de projetos. | project_view | Contém atividades relacionadas à criação e à exclusão de exibições em um quadro de projetos. | protected_branch | Contém atividades relacionadas aos branches protegidos. | public_key | Contém atividades relacionadas às chaves SSH e às chaves de implantação. | pull_request | Contém atividades relacionadas às solicitação de pull. | pull_request_review | Contém atividades relacionadas às revisões de solicitação de pull. | pull_request_review_comment | Contém atividades relacionadas aos comentários de revisão de solicitação de pull. | repo | Contém atividades relacionadas aos repositórios pertencentes a uma organização. | repository_advisory | Contém atividades de nível do repositório relacionadas às consultorias de segurança no GitHub Advisory Database. Para obter mais informações, confira "Sobre os avisos de segurança do GitHub". | repository_content_analysis | Contém atividades relacionadas à habilitação ou à desabilitação do uso de dados em um repositório privado. | repository_dependency_graph | Contém atividades de nível do repositório relacionadas à habilitação ou à desabilitação do grafo de dependência em um repositório privado . Para obter mais informações, confira "Sobre o grafo de dependência". | repository_image | Contém atividades relacionadas a imagens para um repositório. | repository_invitation | Contém atividades relacionadas a convites para ingresso em um repositório. | repository_projects_change | Contém atividades relacionadas à habilitação de projetos em um repositório ou em todos os repositórios de uma organização. | repository_secret_scanning | Contém atividades de nível do repositório relacionadas à verificação de segredos. Para obter mais informações, confira "Sobre a verificação de segredos". | repository_secret_scanning_custom_pattern | Contém atividades relacionadas a padrões personalizados da verificação de segredos em um repositório. Para obter mais informações, confira "Como definir padrões personalizados para a verificação de segredos". | repository_secret_scanning_push_protection | Contém atividades relacionadas a padrões personalizados da verificação de segredos em um repositório. Para obter mais informações, confira "Como proteger os pushes com a verificação de segredos". | repository_visibility_change | Contém atividades relacionadas à permissão de que os membros da organização alterem a visibilidade do repositório para a organização. | repository_vulnerability_alert | Contém atividades relacionadas a Dependabot alerts. | repository_vulnerability_alerts | Contém atividades de configuração no nível do repositório em relação a Dependabot alerts. | required_status_check | Contém atividades relacionadas às verificações de status obrigatórias em branches protegidos. | restrict_notification_delivery | Contém atividades relacionadas à restrição de notificações por email para domínios aprovados ou verificados em uma empresa. | role | Contém atividades relacionadas a funções de repositório personalizadas. | secret_scanning | Contém atividades de configuração de nível da organização para a verificação de segredos em repositórios existentes. Para obter mais informações, confira "Sobre a verificação de segredos". | secret_scanning_new_repos | Contém atividades de configuração de nível da organização para verificação de segredos para os repositórios criados na organização. | security_key | Contém atividades relacionadas ao registro e à remoção de chaves de segurança. | sponsors | Contém eventos relacionados a botões de patrocinador (confira "Como exibir um botão de patrocinador no seu repositório"). | ssh_certificate_authority | Contém atividades relacionadas a uma autoridade de certificação SSH em uma organização ou uma empresa. | ssh_certificate_requirement | Contém atividades relacionadas ao requisito de que os membros usem certificados SSH para acessar recursos da organização. | staff | Contém atividades relacionadas a um administrador do site que executa uma ação. | team | Contém atividades relacionadas às equipes em uma organização. | team_discussions | Contém atividades relacionadas ao gerenciamento de discussões em equipe em uma organização. | team_sync_tenant | Contém atividades relacionadas à sincronização de equipe com um IdP para uma empresa ou uma organização. | user | Contém atividades relacionadas aos usuários em uma empresa ou organização. | user_license | Contém atividades relacionadas a um usuário que ocupa uma estação licenciada e que é membro de uma empresa. | workflows | Contém atividades relacionadas a fluxos de trabalho do GitHub Actions.

Search based on time of action

Use the created qualifier to filter events in the audit log based on when they occurred.

A formatação de data precisa seguir o padrão ISO8601, que é YYYY-MM-DD (ano-mês-dia). Adicione também informações de hora THH:MM:SS+00:00 opcionais após a data, para fazer a pesquisa por hora, minuto e segundo. Isso é T, seguido de HH:MM:SS (hora-minutos-segundos) e uma diferença UTC (+00:00).

Ao pesquisar uma data, você pode usar qualificadores de maior que, menor que e intervalo para filtrar os resultados ainda mais. Para obter mais informações, confira "Noções básicas sobre a sintaxe de pesquisa".

For example:

  • created:2014-07-08 finds all events that occurred on July 8th, 2014.
  • created:>=2014-07-08 finds all events that occurred on or after July 8th, 2014.
  • created:<=2014-07-08 finds all events that occurred on or before July 8th, 2014.
  • created:2014-07-01..2014-07-31 finds all events that occurred in the month of July 2014.

Search based on location

Using the qualifier country, you can filter events in the audit log based on the originating country. You can use a country's two-letter short code or full name. Countries with spaces in their name will need to be wrapped in quotation marks. For example:

  • country:de finds all events that occurred in Germany.
  • country:Mexico finds all events that occurred in Mexico.
  • country:"United States" all finds events that occurred in the United States.

Search based on the token that performed the action

Use the hashed_token qualifier to search based on the token that performed the action. Before you can search for a token, you must generate a SHA-256 hash. For more information, see "Identifying audit log events performed by an access token."