Skip to main content

Searching the audit log for your enterprise

You can search an extensive list of audited actions in your enterprise.

Who can use this feature

Enterprise owners can search the audit log.

About search for the enterprise audit log

You can search your enterprise audit log directly from the user interface by using the Filters dropdown, or by typing a search query.

Search query

For more information about viewing your enterprise audit log, see "Accessing the audit log for your enterprise."

You can also use the API to retrieve audit log events. For more information, see "Using the audit log API for your enterprise."

You cannot search for entries using text. You can, however, construct search queries using a variety of filters. Many operators used when querying the log, such as -, >, or <, match the same format as searching across GitHub AE. For more information, see "Searching on GitHub."

Note: O log de auditoria lista os eventos disparados por atividades que afetam sua empresa. Os logs de auditoria de GitHub AE são retidos indefinidamente, a menos que um proprietário da empresa configure um período de retenção diferente. Para obter mais informações, confira "Configurar o log de auditoria da sua empresa".

Por padrão, são exibidos apenas os eventos dos últimos três meses. Para ver eventos mais antigos, você deve especificar um intervalo de datas com o parâmetro created. Para obter mais informações, confira "Noções básicas sobre a sintaxe de pesquisa".

Search query filters

FilterDescription
Yesterday's activityAll actions created in the past day.
Enterprise account managementAll actions in the business category.
Organization membershipAll actions for when a new user was invited to join an organization.
Team managementAll actions related to team management.
- When a user account or repository was added or removed from a team
- When a team maintainer was promoted or demoted
- When a team was deleted
Repository managementAll actions for repository management.
- When a repository was created or deleted
- When the repository visibility was changed
- When a team was added or removed from a repository
Hook activityAll actions for webhooks and pre-receive hooks.
Security managementAll actions concerning SSH keys, deploy keys, security keys, 2FA, and SAML single sign-on credential authorization, and vulnerability alerts for repositories.

Search query syntax

You can compose a search query from one or more key:value pairs, separated by AND/OR logical operators. For example, to see all actions that have affected the repository octocat/Spoon-Knife since the beginning of 2017:

repo:"octocat/Spoon-Knife" AND created:>=2017-01-01

The key:value pairs that can be used in a search query are:

KeyValue
actor_idID of the user account that initiated the action
actorName of the user account that initiated the action
oauth_app_idID of the OAuth application associated with the action
actionName of the audited action
user_idID of the user affected by the action
userName of the user affected by the action
repo_idID of the repository affected by the action (if applicable)
repoName of the repository affected by the action (if applicable)
actor_ipIP address from which the action was initiated
createdTime at which the action occurred
fromView from which the action was initiated
noteMiscellaneous event-specific information (in either plain text or JSON format)
orgName of the organization affected by the action (if applicable)
org_idID of the organization affected by the action (if applicable)
businessName of the enterprise affected by the action (if applicable)
business_idID of the enterprise affected by the action (if applicable)

To see actions grouped by category, you can also use the action qualifier as a key:value pair. For more information, see "Search based on the action performed."

For a full list of actions in your enterprise audit log, see "Audit log actions for your enterprise."

Searching the audit log

Pesquisar com base em operação

Use o qualificador operation para limitar as ações a tipos específicos de operações. Por exemplo:

  • operation:access localiza todos os eventos em que um recurso foi acessado.
  • operation:authentication localiza todos os eventos em que um evento de autenticação foi realizado.
  • operation:create localiza todos os eventos em que um recurso foi criado.
  • operation:modify localiza todos os eventos em que um recurso existente foi modificado.
  • operation:remove localiza todos os eventos em que um recurso existente foi removido.
  • operation:restore localiza todos os eventos em que um recurso existente foi restaurado.
  • operation:transfer localiza todos os eventos em que um recurso existente foi transferido.

Pesquisar com base no repositório

Use o qualificador repo para limitar as ações a um repositório específico. Por exemplo:

  • repo:my-org/our-repo localiza todos os eventos que ocorreram no repositório our-repo na organização my-org.
  • repo:my-org/our-repo repo:my-org/another-repo localiza todos os eventos que ocorreram nos repositórios our-repo e another-repo na organização my-org.
  • -repo:my-org/not-this-repo exclui todos os eventos que ocorreram no repositório not-this-repo na organização my-org.

Observe que você precisa incluir o nome da conta dentro do qualificador repo. A pesquisa de apenas repo:our-repo não funcionará.

Pesquisar com base no usuário

O qualificador actor pode definir o escopo de eventos com base no autor da ação. Por exemplo:

  • actor:octocat localiza todos os eventos realizados por octocat.
  • actor:octocat actor:hubot localiza todos os eventos realizados por octocat e hubot.
  • -actor:hubot exclui todos os eventos realizados por hubot.

Observe que só é possível usar um nome de usuário do GitHub AE, e não o nome verdadeiro da pessoa.

Search based on the action performed

To search for specific events, use the action qualifier in your query. For example:

  • action:team finds all events grouped within the team category.
  • -action:hook excludes all events in the webhook category.

Each category has a set of associated actions that you can filter on. For example:

  • action:team.create finds all events where a team was created.
  • -action:hook.events_changed excludes all events where the events on a webhook have been altered.

Actions that can be found in your enterprise audit log are grouped within the following categories:

| Nome da categoria | Descrição |------------------|------------------- | artifact | Contém atividades relacionadas aos artefatos de execução de fluxo de trabalho do GitHub Actions. | business | Contém atividades relacionadas às configurações corporativas de uma empresa. | checks | Contém atividades relacionadas aos pacotes de verificação e às execuções. | commit_comment | Contém atividades relacionadas à atualização ou à exclusão de comentários de commit. | dependabot_alerts | Contém as atividades de configuração no nível da organização para Dependabot alerts em repositórios existentes. Para obter mais informações, confira "Sobre os Dependabot alerts". | dependabot_alerts_new_repos | Contém atividades de configuração no nível da organização para Dependabot alerts em novos repositórios criados na organização. | dependabot_repository_access | Contém atividades relacionadas aos repositórios privados de uma organização que o Dependabot tem permissão para acessar. | dependency_graph | Contém atividades de configuração no nível da organização dos grafos de dependências nos repositórios. Para obter mais informações, confira "Sobre o grafo de dependência". | dependency_graph_new_repos | Contém atividades de configuração no nível da organização para novos repositórios criados na organização. | external_group | Contém atividades relacionadas aos grupos do Okta. | external_identity | Contém atividades relacionadas a um usuário em um grupo do Okta. | gist | Contém atividades relacionadas ao Gists. | hook | Contém atividades relacionadas a webhooks. | integration | Contém atividades relacionadas às integrações de uma conta. | integration_installation | Contém atividades relacionadas às integrações instaladas em uma conta. | integration_installation_request | Contém atividades relacionadas às solicitações de membros da organização para proprietários aprovarem integrações para uso na organização. | ip_allow_list | Contém atividades relacionadas à habilitação ou à desabilitação da lista de permissões de IP para uma organização. | ip_allow_list_entry | Contém atividades relacionadas à criação, à exclusão e à edição de uma entrada na lista de permissões de IP para uma organização. | issue | Contém atividades relacionadas à fixação, à transferência ou à exclusão de um problema em um repositório. | issue_comment | Contém atividades relacionadas à fixação, à transferência ou à exclusão de comentários em um problema. | issues | Contém atividades relacionadas à habilitação ou à desabilitação da criação de problemas para uma organização. | members_can_create_pages | Contém atividades relacionadas ao gerenciamento da publicação de sites do GitHub Pages para repositórios na organização. Para obter mais informações, confira "Como gerenciar a publicação de sites do GitHub Pages para sua organização". | members_can_create_private_pages | Contém atividades relacionadas ao gerenciamento da publicação de sites privados do GitHub Pages para repositórios na organização. | members_can_create_public_pages | Contém atividades relacionadas ao gerenciamento da publicação de sites públicos do GitHub Pages para repositórios na organização. | members_can_delete_repos | Contém atividades relacionadas à habilitação ou à desabilitação da criação de repositórios para uma organização. | oauth_access | Contém atividades relacionadas aos tokens de acesso OAuth. | oauth_application | Contém atividades relacionadas aos Aplicativos OAuth. | org | Contém atividades relacionadas à associação a uma organização. | org_credential_authorization | Contém atividades relacionadas à autorização de credenciais para uso com o logon único do SAML. | organization_default_label | Contém atividades relacionadas aos rótulos padrão em uma organização. | private_repository_forking | Contém atividades relacionadas à permissão de forks de repositórios privados e internos para um repositório, uma organização ou uma empresa. | project | Contém atividades relacionadas aos quadros de projetos. | project_field | Contém atividades relacionadas à criação e à exclusão de campos em um quadro de projetos. | project_view | Contém atividades relacionadas à criação e à exclusão de exibições em um quadro de projetos. | protected_branch | Contém atividades relacionadas aos branches protegidos. | public_key | Contém atividades relacionadas às chaves SSH e às chaves de implantação. | pull_request | Contém atividades relacionadas às solicitação de pull. | pull_request_review | Contém atividades relacionadas às revisões de solicitação de pull. | pull_request_review_comment | Contém atividades relacionadas aos comentários de revisão de solicitação de pull. | repo | Contém atividades relacionadas aos repositórios pertencentes a uma organização. | repository_image | Contém atividades relacionadas a imagens para um repositório. | repository_invitation | Contém atividades relacionadas a convites para ingresso em um repositório. | repository_projects_change | Contém atividades relacionadas à habilitação de projetos em um repositório ou em todos os repositórios de uma organização. | repository_secret_scanning | Contém atividades de nível do repositório relacionadas à verificação de segredos. Para obter mais informações, confira "Sobre a verificação de segredos". | repository_vulnerability_alert | Contém atividades relacionadas a Dependabot alerts. | secret_scanning | Contém atividades de configuração de nível da organização para a verificação de segredos em repositórios existentes. Para obter mais informações, confira "Sobre a verificação de segredos". | secret_scanning_new_repos | Contém atividades de configuração de nível da organização para verificação de segredos para os repositórios criados na organização. | security_key | Contém atividades relacionadas ao registro e à remoção de chaves de segurança. | ssh_certificate_authority | Contém atividades relacionadas a uma autoridade de certificação SSH em uma organização ou uma empresa. | ssh_certificate_requirement | Contém atividades relacionadas ao requisito de que os membros usem certificados SSH para acessar recursos da organização. | staff | Contém atividades relacionadas a um administrador do site que executa uma ação. | team | Contém atividades relacionadas às equipes em uma organização. | team_discussions | Contém atividades relacionadas ao gerenciamento de discussões em equipe em uma organização. | user | Contém atividades relacionadas aos usuários em uma empresa ou organização. | workflows | Contém atividades relacionadas a fluxos de trabalho do GitHub Actions.

Search based on time of action

Use the created qualifier to filter events in the audit log based on when they occurred.

A formatação de data precisa seguir o padrão ISO8601, que é YYYY-MM-DD (ano-mês-dia). Adicione também informações de hora THH:MM:SS+00:00 opcionais após a data, para fazer a pesquisa por hora, minuto e segundo. Isso é T, seguido de HH:MM:SS (hora-minutos-segundos) e uma diferença UTC (+00:00).

Ao pesquisar uma data, você pode usar qualificadores de maior que, menor que e intervalo para filtrar os resultados ainda mais. Para obter mais informações, confira "Noções básicas sobre a sintaxe de pesquisa".

For example:

  • created:2014-07-08 finds all events that occurred on July 8th, 2014.
  • created:>=2014-07-08 finds all events that occurred on or after July 8th, 2014.
  • created:<=2014-07-08 finds all events that occurred on or before July 8th, 2014.
  • created:2014-07-01..2014-07-31 finds all events that occurred in the month of July 2014.

Search based on location

Using the qualifier country, you can filter events in the audit log based on the originating country. You can use a country's two-letter short code or full name. Countries with spaces in their name will need to be wrapped in quotation marks. For example:

  • country:de finds all events that occurred in Germany.
  • country:Mexico finds all events that occurred in Mexico.
  • country:"United States" all finds events that occurred in the United States.