Skip to main content

Como fazer pesquisas no log de auditoria para sua empresa

Você pode pesquisar uma extensa lista de ações auditadas em sua empresa.

Quem pode usar esse recurso?

Enterprise owners and site administrators can search the audit log.

Sobre a pesquisa no log de auditoria da empresa

Você pode pesquisar o log de auditoria da empresa diretamente na interface do usuário usando o menu suspenso Filtros ou digitando uma consulta de pesquisa.

Para saber como exibir o log de auditoria da empresa, confira "Como acessar o log de auditoria da sua empresa".

Observação: os eventos Git não estão incluídos nos resultados da pesquisa.

Use também a API para recuperar eventos de log de auditoria. Para obter mais informações, confira "Como usar a API do log de auditoria para sua empresa".

Observe que não é possível pesquisar entradas usando texto. No entanto, é possível criar consultas de pesquisa usando diversos filtros. Muitos operadores usados na consultar do log, como -, > ou <, correspondem ao mesmo formato que a pesquisa no GitHub Enterprise Server. Para obter mais informações, confira "Sobre a pesquisa no GitHub".

Note

O log de auditoria lista os eventos disparados por atividades que afetam sua empresa. Os logs de auditoria de GitHub Enterprise Server são retidos indefinidamente, a menos que um proprietário da empresa configure um período de retenção diferente. Consulte "Configurando o log de auditoria da sua empresa."

Por padrão, são exibidos apenas os eventos dos últimos três meses. Para ver eventos mais antigos, você deve especificar um intervalo de datas com o parâmetro created. Confira "Noções básicas de sintaxe de pesquisa".

Pesquisar filtros de consulta

FiltrarDescrição
Yesterday's activityTodas as ações criadas no último dia.
Enterprise account managementTodas as ações na categoria business.
Organization membershipTodas as ações de quando um novo usuário foi convidado a ingressar em uma organização.
Team managementTodas as ações relacionadas ao gerenciamento da equipe.
– Quando uma conta de usuário ou um repositório foi adicionado a uma equipe ou removido dela
– Quando um mantenedor da equipe foi promovido ou rebaixado
– Quando uma equipe foi excluída
Repository managementTodas as ações do gerenciamento do repositório.
– Quando um repositório foi criado ou excluído
– Quando a visibilidade do repositório foi alterada
– Quando uma equipe foi adicionada ou removida de um repositório
Hook activityTodas as ações de webhooks e ganchos de pré-recebimento.
Security managementTodas as ações referentes a chaves SSH, chaves de implantação, chaves de segurança, 2FA e autorização de credencial de logon único do SAML e alertas de vulnerabilidade para repositórios.

Sintaxe de consulta de pesquisa

Você pode redigir uma consulta de pesquisa com base em um ou mais pares key:value. Por exemplo, para ver todas as ações que afetaram o repositório octocat/Spoon-Knife desde o início de 2017:

repo:"octocat/Spoon-Knife" created:>=2017-01-01

Os pares key:valueque podem ser usados em uma consulta de pesquisa são:

ChaveValor
actionNome da ação auditada.
actorNome da conta de usuário que iniciou a ação.
actor_idID da conta de usuário que iniciou a ação.
actor_ipEndereço IP do qual a ação foi iniciada.
businessNome da empresa afetada pela ação (se aplicável).
business_idID da empresa afetada pela ação (se aplicável).
createdHora em que a ação ocorreu. Se estiver consultando o log de auditoria no painel de administração do site, use created_at em vez disso.
countryNome do país em que o agente estava ao realizar a ação.
country_codeCódigo curto de duas letras do país em que o agente estava ao realizar a ação.
fromExibição da qual a ação foi iniciada.
hashed_tokenO token usado para autenticar a ação (se aplicável, consulte "Identificar eventos de log de auditoria executados por um token de acesso").
ipEndereço IP do ator.
noteInformações diversas específicas do evento (em texto sem formatação ou formato JSON).
oauth_app_idID do OAuth app associado à ação.
operationTipo de operação que corresponde à ação. Os tipos de operação são create, access, modify, remove, authentication, transfer e restore.
orgNome da organização afetada pela ação (se aplicável).
org_idID da organização afetada pela ação (se aplicável).
repo_idID do repositório afetado pela ação (se aplicável).
repositoryNome com o proprietário do repositório onde a ação ocorreu (como "octocat/octo-repo").
user_idID do usuário afetado pela ação.
userNome do usuário afetado pela ação.

Para ver as ações agrupadas por categoria, use também o qualificador de ação como um par key:value. Para obter mais informações, confira "Pesquisa com base na ação executada".

Para ver uma lista completa das ações no log de auditoria da sua empresa, confira "Auditar eventos de log para sua empresa".

Pesquisar no log de auditoria

Pesquisar com base em operação

Use o qualificador operation para limitar as ações a tipos específicos de operações. Por exemplo:

  • operation:access localiza todos os eventos em que um recurso foi acessado.
  • operation:authentication localiza todos os eventos em que um evento de autenticação foi realizado.
  • operation:create localiza todos os eventos em que um recurso foi criado.
  • operation:modify localiza todos os eventos em que um recurso existente foi modificado.
  • operation:remove localiza todos os eventos em que um recurso existente foi removido.
  • operation:restore localiza todos os eventos em que um recurso existente foi restaurado.
  • operation:transfer localiza todos os eventos em que um recurso existente foi transferido.

Pesquisar com base no repositório

Use o qualificador repo para limitar as ações a um repositório específico. Por exemplo:

  • repo:"my-org/our-repo" localiza todos os eventos que ocorreram no repositório our-repo na organização my-org.
  • repo:"my-org/our-repo" repo:"my-org/another-repo" localiza todos os eventos que ocorreram nos repositórios our-repo e another-repo na organização my-org.
  • -repo:"my-org/not-this-repo" exclui todos os eventos que ocorreram no repositório not-this-repo na organização my-org.

Observe que você deve incluir o nome da conta dentro do qualificador repo e colocá-lo entre aspas ou escapar / com um \; a busca apenas por repo:our-repo ou repo:my-org/our-repo não funcionará.

Pesquisar com base no usuário

O qualificador actor pode definir o escopo de eventos com base no autor da ação. Por exemplo:

  • actor:octocat localiza todos os eventos realizados por octocat.
  • actor:octocat actor:hubot localiza todos os eventos realizados por octocat ou hubot.
  • -actor:hubot exclui todos os eventos realizados por hubot.

Observe que só é possível usar um nome de usuário do GitHub Enterprise Server, e não o nome verdadeiro da pessoa.

Pesquisar com base na ação

Para pesquisar eventos específicos, use o qualificador action na consulta. Por exemplo:

  • action:team localiza todos os eventos agrupados na categoria da equipe.
  • -action:hook exclui todos os eventos na categoria do webhook.

Cada categoria tem um conjunto de ações associadas que você pode filtrar. Por exemplo:

  • action:team.create localiza todos os eventos em que uma equipe foi criada.
  • -action:hook.events_changed exclui todos os eventos em que os eventos em um webhook foram alterados.

As ações que podem ser encontradas no log de auditoria da sua empresa são agrupadas nas seguintes categorias:

Nome da categoriaDescrição
artifactContém atividades relacionadas aos artefatos de execução de fluxo de trabalho do GitHub Actions.
audit_log_streamingContém atividades relacionadas aos logs de auditoria de streaming para organizações em uma conta corporativa.
businessContém atividades relacionadas às configurações de negócios de uma empresa.
business_advanced_securityContém atividades relacionadas a GitHub Advanced Security em uma empresa. Para obter mais informações, consulte "Como gerenciar os recursos do GitHub Advanced Security na empresa".
business_secret_scanningContém atividades relacionadas a secret scanning em uma empresa. Para obter mais informações, consulte "Como gerenciar os recursos do GitHub Advanced Security na empresa".
business_secret_scanning_custom_patternContém atividades relacionadas a padrões personalizados para a secret scanning em uma empresa.
business_secret_scanning_custom_pattern_push_protectionContém atividades em nível de repositório relacionadas à proteção contra push de um padrão personalizado para secret scanning em uma empesa. Para obter mais informações, consulte "Definir padrões personalizados para a verificação de segredo".
business_secret_scanning_push_protectionContém as atividades relacionadas ao recurso de proteção contra push da secret scanning em uma empresa. Para obter mais informações, consulte "Como gerenciar os recursos do GitHub Advanced Security na empresa".
business_secret_scanning_push_protection_custom_messageContém atividades relacionadas à mensagem personalizada exibida quando a proteção contra push é acionada em uma empresa. Para obter mais informações, consulte "Como gerenciar os recursos do GitHub Advanced Security na empresa".
checksContém atividades relacionadas aos pacotes de verificação e às execuções.
commit_commentContém atividades relacionadas à atualização ou à exclusão de comentários de commit.
config_entryContém atividades relacionadas a definições de configuração. Esses eventos só ficam visíveis no log de auditoria do administrador do site.
dependabot_alertsContém as atividades de configuração no nível da organização para o Dependabot alerts em repositórios existentes. Para obter mais informações, consulte "Sobre alertas do Dependabot".
dependabot_alerts_new_reposContém atividades de configuração no nível da organização para Dependabot alerts em novos repositórios criados na organização.
dependabot_repository_accessContém atividades relacionadas a quais repositórios privados de uma organização o Dependabot tem permissão para acessar.
dependabot_security_updatesContém as atividades de configuração no nível da organização para Dependabot security updates em repositórios existentes. Para obter mais informações, consulte "Configurando as atualizações de segurança do Dependabot".
dependabot_security_updates_new_reposContém atividades de configuração de nível da organização nas Dependabot security updates para os repositórios criados na organização.
dependency_graphContém atividades de configuração no nível da organização dos grafos de dependências nos repositórios. Para obter mais informações, consulte "Sobre o gráfico de dependências".
dependency_graph_new_reposContém atividades de configuração no nível da organização para novos repositórios criados na organização.
dotcom_connectionContém atividades relacionadas ao GitHub Connect.
enterpriseContém atividades relacionadas às configurações da empresa.
hookContém atividades relacionadas a webhooks.
integrationContém atividades relacionadas a integrações em uma conta.
integration_installationContém atividades relacionadas às integrações instaladas em uma conta.
integration_installation_requestContém atividades relacionadas a solicitações de membros da organização para proprietários aprovarem integrações para uso na organização.
issueContém atividades relacionadas à fixação, à transferência ou à exclusão de um problema em um repositório.
issue_commentContém atividades relacionadas à fixação, à transferência ou à exclusão de comentários em um problema.
issuesContém atividades relacionadas à habilitação ou à desabilitação da criação de problemas para uma organização.
members_can_create_pagesContém atividades relacionadas ao gerenciamento da publicação de sites do GitHub Pages para repositórios na organização. Para obter mais informações, consulte "Gerenciar a publicação dos sites do GitHub Pages para a sua organização".
members_can_create_private_pagesContém atividades relacionadas ao gerenciamento da publicação de sites privados do GitHub Pages para repositórios na organização.
members_can_create_public_pagesContém atividades relacionadas ao gerenciamento da publicação de sites públicos do GitHub Pages para repositórios na organização.
members_can_delete_reposContém atividades relacionadas à habilitação ou à desabilitação da criação de repositórios para uma organização.
oauth_accessContém atividades relacionadas aos tokens de acesso OAuth.
oauth_applicationContém atividades relacionadas a OAuth apps.
orgContém atividades relacionadas à associação a uma organização.
org_credential_authorizationContém atividades relacionadas à autorização de credenciais para uso com o logon único do SAML.
org_secret_scanning_custom_patternContém atividades relacionadas a padrões personalizados para secret scanning em uma organização. Para obter mais informações, consulte "Definir padrões personalizados para a verificação de segredo".
organization_default_labelContém atividades relacionadas a rótulos padrão de repositórios em uma organização.
organization_domainContém atividades relacionadas a domínios da organização verificados.
organization_projects_changeContém atividades relacionadas a projetos (clássicos) em toda a organização em uma empresa.
pre_receive_environmentContém atividades relacionadas a ambientes de hooks pre-receive.
pre_receive_hookContém atividades relacionadas a hooks pre-receive.
private_instance_encryptionContém atividades relacionadas à habilitação do modo privado para uma empresa.
private_repository_forkingContém atividades relacionadas à permissão de forks de repositórios privados e internos para um repositório, uma organização ou uma empresa.
projectContém atividades relacionadas a projetos.
project_fieldContém atividades relacionadas à criação e à exclusão de campos em um projeto.
project_viewContém atividades relacionadas à criação e à exclusão de exibições em um projeto.
protected_branchContém atividades relacionadas a branches protegidos.
public_keyContém atividades relacionadas a chaves SSH e chaves de implantação.
pull_requestContém atividades relacionadas a pull requests.
pull_request_reviewContém atividades relacionadas a revisões de pull requests.
pull_request_review_commentContém atividades relacionadas a comentários de revisão de pull requests.
repoContém atividades relacionadas aos repositórios pertencentes a uma organização.
repository_imageContém atividades relacionadas a imagens para um repositório.
repository_invitationContém atividades relacionadas a convites para ingressar em um repositório.
repository_projects_changeContém atividades relacionadas à habilitação de projetos em um repositório ou em todos os repositórios de uma organização.
repository_secret_scanningContém atividades de nível do repositório relacionadas à secret scanning. Para obter mais informações, consulte "Sobre a verificação de segredo".
repository_secret_scanning_custom_patternContém relacionadas a padrões personalizados da secret scanning em um repositório. Para obter mais informações, consulte "Definir padrões personalizados para a verificação de segredo".
repository_secret_scanning_custom_pattern_push_protectionContém atividades relacionadas à proteção contra push de um padrão personalizado para a secret scanning em um repositório. Para obter mais informações, consulte "Definir padrões personalizados para a verificação de segredo".
repository_secret_scanning_push_protectionContém atividades relacionadas ao recurso de proteção contra push da secret scanning em um repositório. Para obter mais informações, consulte "Sobre a proteção por push".
repository_vulnerability_alertContém atividades relacionadas aos Dependabot alerts.
restrict_notification_deliveryContém atividades relacionadas à restrição de notificações por email para domínios aprovados ou verificados em uma empresa.
roleContém atividades relacionadas a funções de repositório personalizadas.
secret_scanningContém atividades de configuração em nível de organização para o secret scanning em repositórios existentes. Para obter mais informações, consulte "Sobre a verificação de segredo".
secret_scanning_new_reposContém atividades de configuração no nível da organização para o secret scanning para novos repositórios criados na organização.
security_keyContém atividades relacionadas ao registro e à remoção de chaves de segurança.
ssh_certificate_authorityContém atividades relacionadas a uma autoridade de certificação SSH em uma organização ou uma empresa.
ssh_certificate_requirementContém atividades relacionadas a exigir que os membros usem certificados SSH para acessar recursos da organização.
staffContém atividades relacionadas a um administrador do site que executa uma ação.
teamContém atividades relacionadas a equipes em uma organização.
team_discussionsContém as atividades relacionadas ao gerenciamento de discussões da equipe em uma organização.
two_factor_authenticationContém atividades relacionadas à autenticação de dois fatores.
userContém atividades relacionadas a usuários em uma empresa ou organização.
user_licenseContém atividades relacionadas a um usuário que ocupa uma estação licenciada e que é membro de uma empresa.
workflowsContém as atividades relacionadas a fluxos de trabalho do GitHub Actions.

Pesquisar com base na hora da ação

Use o qualificador created para filtrar eventos no log de auditoria com base na data em que eles ocorreram.

A formatação de data precisa seguir o padrão ISO8601, que é YYYY-MM-DD (ano-mês-dia). Adicione também informações de hora THH:MM:SS+00:00 opcionais após a data, para fazer a pesquisa por hora, minuto e segundo. Isso é T, seguido de HH:MM:SS (hora-minutos-segundos) e uma diferença UTC (+00:00).

Ao pesquisar uma data, você pode usar qualificadores de maior que, menor que e intervalo para filtrar os resultados ainda mais. Para obter mais informações, confira "Noções básicas de sintaxe de pesquisa".

Por exemplo:

  • created:2014-07-08 localiza todos os eventos ocorridos em 8 de julho de 2014.
  • created:>=2014-07-08 localiza todos os eventos ocorridos em 8 de julho de 2014 ou após essa data.
  • created:<=2014-07-08 localiza todos os eventos ocorridos em 8 de julho de 2014 ou antes dessa data.
  • created:2014-07-01..2014-07-31 localiza todos os eventos ocorridos no mês de julho de 2014.

Pesquisar com base no local

Usando o qualificador country, você pode filtrar eventos no log de auditoria com base no país de origem. Use o código curto de duas letras ou o nome completo de um país/região. Os países/regiões com espaços no nome precisarão ser colocados entre aspas. Por exemplo:

  • country:de localiza todos os eventos ocorridos na Alemanha.
  • country:Mexico localiza todos os eventos ocorridos no México.
  • country:"United States" localiza todos os eventos ocorridos nos Estados Unidos.

Pesquisar com base no token que executou a ação

Use o qualificador hashed_token para pesquisar com base no token que executou a ação. Antes de procurar um token, gere um hash SHA-256. Para obter mais informações, confira "Identificar eventos de log de auditoria executados por um token de acesso".