Sobre a pesquisa no log de auditoria da empresa
Você pode pesquisar o log de auditoria da empresa diretamente na interface do usuário usando o menu suspenso Filtros ou digitando uma consulta de pesquisa.
Para obter mais informações sobre como ver o log de auditoria da sua empresa, confira "Como acessar o log de auditoria para sua empresa".
Use também a API para recuperar eventos de log de auditoria. Para obter mais informações, confira "Como usar a API do log de auditoria para sua empresa".
Observe que não é possível pesquisar entradas usando texto. No entanto, é possível criar consultas de pesquisa usando diversos filtros. Muitos operadores usados na consultar do log, como -, > ou <, correspondem ao mesmo formato que a pesquisa no GitHub Enterprise Server. Para obter mais informações, confira "Como fazer pesquisas no GitHub".
Observação: O log de auditoria lista os eventos disparados por atividades que afetam sua empresa. Os logs de auditoria de GitHub Enterprise Server são retidos indefinidamente.
Por padrão, são exibidos apenas os eventos dos últimos três meses. Para ver eventos mais antigos, você deve especificar um intervalo de datas com o parâmetro created. Para obter mais informações, confira "Noções básicas sobre a sintaxe de pesquisa".
Pesquisar filtros de consulta
| Filtrar | Descrição |
|---|---|
Yesterday's activity | Todas as ações criadas no último dia. |
Enterprise account management | Todas as ações na categoria business. |
Organization membership | Todas as ações de quando um novo usuário foi convidado a ingressar em uma organização. |
Team management | Todas as ações relacionadas ao gerenciamento da equipe. – Quando uma conta de usuário ou um repositório foi adicionado a uma equipe ou removido dela – Quando um mantenedor da equipe foi promovido ou rebaixado – Quando uma equipe foi excluída |
Repository management | Todas as ações do gerenciamento do repositório. – Quando um repositório foi criado ou excluído – Quando a visibilidade do repositório foi alterada – Quando uma equipe foi adicionada ou removida de um repositório |
Hook activity | Todas as ações de webhooks e ganchos de pré-recebimento. |
Security management | Todas as ações referentes a chaves SSH, chaves de implantação, chaves de segurança, 2FA e autorização de credencial de logon único do SAML e alertas de vulnerabilidade para repositórios. |
Sintaxe de consulta de pesquisa
Você pode redigir uma consulta de pesquisa de um ou mais pares key:value, separados por operadores lógicos AND/OR. Por exemplo, para ver todas as ações que afetaram o repositório octocat/Spoon-Knife desde o início de 2017:
repo:"octocat/Spoon-Knife" AND created:>=2017-01-01
Os pares key:valueque podem ser usados em uma consulta de pesquisa são:
| Chave | Valor |
|---|---|
actor_id | ID da conta do usuário que iniciou a ação. |
actor | Nome da conta do usuário que iniciou a ação. |
oauth_app_id | ID do aplicativo OAuth associado � ação. |
action | Nome da ação auditada |
user_id | ID do usuário afetado pela ação. |
user | Nome do usuário afetado pela ação. |
repo_id | ID do repositório afetado pela ação (se aplicável). |
repo | Nome do repositório afetado pela ação (se aplicável). |
actor_ip | Endereço IP do qual a ação foi iniciada. |
created | Hora em que a ação ocorreu. Se estiver consultando o log de auditoria no painel de administração do site, use created_at |
from | Exibição da qual a ação foi iniciada. |
note | Informações diversas sobre eventos específicos (em texto sem formatação ou formato JSON). |
org | Nome da organização afetada pela ação (se aplicável). |
org_id | ID da organização afetada pela ação (se aplicável). |
business | Nome da empresa afetada pela ação (se aplicável) |
business_id | ID da empresa afetada pela ação (se aplicável) |
Para ver as ações agrupadas por categoria, use também o qualificador de ação como um par key:value. Para obter mais informações, confira "Pesquisa com base na ação executada".
Para ver uma lista completa das ações no log de auditoria da sua empresa, confira "Ações de log de auditoria para sua empresa".
Pesquisar no log de auditoria
Pesquisar com base em operação
Use o qualificador operation para limitar as ações a tipos específicos de operações. Por exemplo:
operation:accesslocaliza todos os eventos em que um recurso foi acessado.operation:authenticationlocaliza todos os eventos em que um evento de autenticação foi realizado.operation:createlocaliza todos os eventos em que um recurso foi criado.operation:modifylocaliza todos os eventos em que um recurso existente foi modificado.operation:removelocaliza todos os eventos em que um recurso existente foi removido.operation:restorelocaliza todos os eventos em que um recurso existente foi restaurado.operation:transferlocaliza todos os eventos em que um recurso existente foi transferido.
Pesquisar com base no repositório
Use o qualificador repo para limitar as ações a um repositório específico. Por exemplo:
repo:my-org/our-repolocaliza todos os eventos que ocorreram no repositórioour-repona organizaçãomy-org.repo:my-org/our-repo repo:my-org/another-repolocaliza todos os eventos que ocorreram nos repositóriosour-repoeanother-repona organizaçãomy-org.-repo:my-org/not-this-repoexclui todos os eventos que ocorreram no repositórionot-this-repona organizaçãomy-org.
Observe que você precisa incluir o nome da conta dentro do qualificador repo. A pesquisa de apenas repo:our-repo não funcionará.
Pesquisar com base no usuário
O qualificador actor pode definir o escopo de eventos com base no autor da ação. Por exemplo:
actor:octocatlocaliza todos os eventos realizados poroctocat.actor:octocat actor:hubotlocaliza todos os eventos realizados poroctocatehubot.-actor:hubotexclui todos os eventos realizados porhubot.
Observe que só é possível usar um nome de usuário do GitHub Enterprise Server, e não o nome verdadeiro da pessoa.
Pesquisar com base na ação
Para pesquisar eventos específicos, use o qualificador action na consulta. Por exemplo:
action:teamlocaliza todos os eventos agrupados na categoria da equipe.-action:hookexclui todos os eventos na categoria do webhook.
Cada categoria tem um conjunto de ações associadas que você pode filtrar. Por exemplo:
action:team.createlocaliza todos os eventos em que uma equipe foi criada.-action:hook.events_changedexclui todos os eventos em que os eventos em um webhook foram alterados.
As ações que podem ser encontradas no log de auditoria da sua empresa são agrupadas nas seguintes categorias:
| Category name | Description |
|---|---|
artifact | Contains activities related to GitHub Actions workflow run artifacts. |
business | Contains activities related to business settings for an enterprise. |
checks | Contains activities related to check suites and runs. |
commit_comment | Contains activities related to updating or deleting commit comments. |
config_entry | Contains activities related to configuration settings. These events are only visible in the site admin audit log. |
dependency_graph | Contains organization-level configuration activities for dependency graphs for repositories. For more information, see "About the dependency graph." |
dependency_graph_new_repos | Contains organization-level configuration activities for new repositories created in the organization. |
dotcom_connection | Contains activities related to GitHub Connect. |
enterprise | Contains activities related to enterprise settings. |
gist | Contains activities related to Gists. |
hook | Contains activities related to webhooks. |
integration | Contains activities related to integrations in an account. |
integration_installation | Contains activities related to integrations installed in an account. |
integration_installation_request | Contains activities related to organization member requests for owners to approve integrations for use in the organization. |
issue | Contains activities related to pinning, transferring, or deleting an issue in a repository. |
issue_comment | Contains activities related to pinning, transferring, or deleting issue comments. |
issues | Contains activities related to enabling or disabling issue creation for an organization. |
members_can_create_pages | Contains activities related to managing the publication of GitHub Pages sites for repositories in the organization. For more information, see "Managing the publication of GitHub Pages sites for your organization." |
members_can_create_private_pages | Contains activities related to managing the publication of private GitHub Pages sites for repositories in the organization. |
members_can_create_public_pages | Contains activities related to managing the publication of public GitHub Pages sites for repositories in the organization. |
members_can_delete_repos | Contains activities related to enabling or disabling repository creation for an organization. |
oauth_access | Contains activities related to OAuth access tokens. |
oauth_application | Contains activities related to OAuth Apps. |
org | Contains activities related to organization membership. |
org_credential_authorization | Contains activities related to authorizing credentials for use with SAML single sign-on. |
organization_default_label | Contains activities related to default labels for repositories in an organization. |
organization_domain | Contains activities related to verified organization domains. |
organization_projects_change | Contains activities related to organization-wide project boards in an enterprise. |
pre_receive_environment | Contains activities related to pre-receive hook environments. |
pre_receive_hook | Contains activities related to pre-receive hooks. |
private_instance_encryption | Contains activities related to enabling private mode for an enterprise. |
private_repository_forking | Contains activities related to allowing forks of private and internal repositories, for a repository, organization or enterprise. |
project | Contains activities related to project boards. |
project_field | Contains activities related to field creation and deletion in a project board. |
project_view | Contains activities related to view creation and deletion in a project board. |
protected_branch | Contains activities related to protected branches. |
public_key | Contains activities related to SSH keys and deploy keys. |
pull_request | Contains activities related to pull requests. |
pull_request_review | Contains activities related to pull request reviews. |
pull_request_review_comment | Contains activities related to pull request review comments. |
repo | Contains activities related to the repositories owned by an organization. |
repository_image | Contains activities related to images for a repository. |
repository_invitation | Contains activities related to invitations to join a repository. |
repository_projects_change | Contains activities related to enabling projects for a repository or for all repositories in an organization. |
repository_secret_scanning | Contains repository-level activities related to secret scanning. For more information, see "About secret scanning." |
repository_vulnerability_alert | Contains activities related to Dependabot alerts. |
restrict_notification_delivery | Contains activities related to the restriction of email notifications to approved or verified domains for an enterprise. |
secret_scanning | Contains organization-level configuration activities for secret scanning in existing repositories. For more information, see "About secret scanning." |
secret_scanning_new_repos | Contains organization-level configuration activities for secret scanning for new repositories created in the organization. |
security_key | Contains activities related to security keys registration and removal. |
ssh_certificate_authority | Contains activities related to a SSH certificate authority in an organization or enterprise. |
ssh_certificate_requirement | Contains activities related to requiring members use SSH certificates to access organization resources. |
staff | Contains activities related to a site admin performing an action. |
team | Contains activities related to teams in an organization. |
team_discussions | Contains activities related to managing team discussions for an organization. |
two_factor_authentication | Contains activities related to two-factor authentication. |
user | Contains activities related to users in an enterprise or organization. |
user_license | Contains activities related to a user occupying a licensed seat in, and being a member of, an enterprise. |
workflows | Contains activities related to GitHub Actions workflows. |
Pesquisar com base na hora da ação
Use o qualificador created para filtrar eventos no log de auditoria com base na data em que eles ocorreram.
A formatação de data precisa seguir o padrão ISO8601, que é YYYY-MM-DD (ano-mês-dia). Adicione também informações de hora THH:MM:SS+00:00 opcionais após a data, para fazer a pesquisa por hora, minuto e segundo. Isso é T, seguido de HH:MM:SS (hora-minutos-segundos) e uma diferença UTC (+00:00).
Ao pesquisar uma data, você pode usar qualificadores de maior que, menor que e intervalo para filtrar os resultados ainda mais. Para obter mais informações, confira "Noções básicas sobre a sintaxe de pesquisa".
Por exemplo:
created:2014-07-08localiza todos os eventos ocorridos em 8 de julho de 2014.created:>=2014-07-08localiza todos os eventos ocorridos em 8 de julho de 2014 ou após essa data.created:<=2014-07-08localiza todos os eventos ocorridos em 8 de julho de 2014 ou antes dessa data.created:2014-07-01..2014-07-31localiza todos os eventos ocorridos no mês de julho de 2014.
Pesquisar com base no local
Usando o qualificador country, você pode filtrar eventos no log de auditoria com base no país de origem. Use o código curto de duas letras ou o nome completo de um país. Os países com espaços no nome precisarão ser colocados entre aspas. Por exemplo:
country:delocaliza todos os eventos ocorridos na Alemanha.country:Mexicolocaliza todos os eventos ocorridos no México.country:"United States"localiza todos os eventos ocorridos nos Estados Unidos.