Sobre a pesquisa no log de auditoria da empresa
Você pode pesquisar o log de auditoria da empresa diretamente na interface do usuário usando o menu suspenso Filtros ou digitando uma consulta de pesquisa.
Para saber como exibir o log de auditoria da empresa, confira "Como acessar o log de auditoria da sua empresa".
Observação: os eventos Git não estão incluídos nos resultados da pesquisa.
Use também a API para recuperar eventos de log de auditoria. Para obter mais informações, confira "Como usar a API do log de auditoria para sua empresa".
Observe que não é possível pesquisar entradas usando texto. No entanto, é possível criar consultas de pesquisa usando diversos filtros. Muitos operadores usados na consultar do log, como -, > ou <, correspondem ao mesmo formato que a pesquisa no GitHub Enterprise Cloud. Para obter mais informações, confira "Sobre a pesquisa no GitHub".
Note
O log de auditoria lista os eventos disparados por atividades que afetam sua empresa nos últimos 180 dias. O log de auditoria mantém os eventos do Git por sete dias.
Por padrão, são exibidos apenas os eventos dos últimos três meses. Para ver eventos mais antigos, você deve especificar um intervalo de datas com o parâmetro created. Confira "Noções básicas de sintaxe de pesquisa".
Pesquisar filtros de consulta
| Filtrar | Descrição |
|---|---|
Yesterday's activity | Todas as ações criadas no último dia. |
Enterprise account management | Todas as ações na categoria business. |
Organization membership | Todas as ações de quando um novo usuário foi convidado a ingressar em uma organização. |
Team management | Todas as ações relacionadas ao gerenciamento da equipe. – Quando uma conta de usuário ou um repositório foi adicionado a uma equipe ou removido dela – Quando um mantenedor da equipe foi promovido ou rebaixado – Quando uma equipe foi excluída |
Repository management | Todas as ações do gerenciamento do repositório. – Quando um repositório foi criado ou excluído – Quando a visibilidade do repositório foi alterada – Quando uma equipe foi adicionada ou removida de um repositório |
Billing updates | Todas as ações referentes à forma como a empresa paga por GitHub e pela data de alteração do seu endereço de email de cobrança. |
Hook activity | Todas as ações de webhooks e ganchos de pré-recebimento. |
Security management | Todas as ações referentes a chaves SSH, chaves de implantação, chaves de segurança, 2FA e autorização de credencial de logon único do SAML e alertas de vulnerabilidade para repositórios. |
Sintaxe de consulta de pesquisa
Você pode redigir uma consulta de pesquisa com base em um ou mais pares key:value. Por exemplo, para ver todas as ações que afetaram o repositório octocat/Spoon-Knife desde o início de 2017:
repo:"octocat/Spoon-Knife" created:>=2017-01-01
Os pares key:valueque podem ser usados em uma consulta de pesquisa são:
| Chave | Valor |
|---|---|
action | Nome da ação auditada. |
actor | Nome da conta de usuário que iniciou a ação. |
created | Hora em que a ação ocorreu. |
country | Nome do país em que o agente estava ao realizar a ação. |
country_code | Código curto de duas letras do país em que o agente estava ao realizar a ação. |
hashed_token | O token usado para autenticar a ação (se aplicável, consulte "Identificar eventos de log de auditoria executados por um token de acesso"). |
ip | Endereço IP do ator. |
operation | Tipo de operação que corresponde à ação. Os tipos de operação são create, access, modify, remove, authentication, transfer e restore. |
repository | Nome com o proprietário do repositório onde a ação ocorreu (como octocat/octo-repo). |
user | Nome do usuário afetado pela ação. |
Para ver as ações agrupadas por categoria, use também o qualificador de ação como um par key:value. Para obter mais informações, confira "Pesquisa com base na ação executada".
Para ver uma lista completa das ações no log de auditoria da sua empresa, confira "Auditar eventos de log para sua empresa".
Pesquisar no log de auditoria
Pesquisar com base em operação
Use o qualificador operation para limitar as ações a tipos específicos de operações. Por exemplo:
operation:accesslocaliza todos os eventos em que um recurso foi acessado.operation:authenticationlocaliza todos os eventos em que um evento de autenticação foi realizado.operation:createlocaliza todos os eventos em que um recurso foi criado.operation:modifylocaliza todos os eventos em que um recurso existente foi modificado.operation:removelocaliza todos os eventos em que um recurso existente foi removido.operation:restorelocaliza todos os eventos em que um recurso existente foi restaurado.operation:transferlocaliza todos os eventos em que um recurso existente foi transferido.
Pesquisar com base no repositório
Use o qualificador repo para limitar as ações a um repositório específico. Por exemplo:
repo:my-org/our-repolocaliza todos os eventos que ocorreram no repositórioour-repona organizaçãomy-org.repo:my-org/our-repo repo:my-org/another-repolocaliza todos os eventos que ocorreram nos repositóriosour-repoeanother-repona organizaçãomy-org.-repo:my-org/not-this-repoexclui todos os eventos que ocorreram no repositórionot-this-repona organizaçãomy-org.
Observe que você deve incluir o nome da conta no qualificador repo; a busca apenas por repo:our-repo não funcionará.
Pesquisar com base no usuário
O qualificador actor pode definir o escopo de eventos com base no autor da ação. Por exemplo:
actor:octocatlocaliza todos os eventos realizados poroctocat.actor:octocat actor:hubotlocaliza todos os eventos realizados poroctocatouhubot.-actor:hubotexclui todos os eventos realizados porhubot.
Observe que só é possível usar um nome de usuário do GitHub Enterprise Cloud, e não o nome verdadeiro da pessoa.
Pesquisar com base na ação
Para pesquisar eventos específicos, use o qualificador action na consulta. Por exemplo:
action:teamlocaliza todos os eventos agrupados na categoria da equipe.-action:hookexclui todos os eventos na categoria do webhook.
Cada categoria tem um conjunto de ações associadas que você pode filtrar. Por exemplo:
action:team.createlocaliza todos os eventos em que uma equipe foi criada.-action:hook.events_changedexclui todos os eventos em que os eventos em um webhook foram alterados.
As ações que podem ser encontradas no log de auditoria da sua empresa são agrupadas nas seguintes categorias:
| Nome da categoria | Descrição |
|---|---|
account | Contém atividades relacionadas a uma conta de organização. |
advisory_credit | Contém atividades relacionadas ao crédito de um contribuidor de uma consultoria de segurança no GitHub Advisory Database. Para obter mais informações, consulte "Sobre os avisos de segurança do repositório". |
artifact | Contém atividades relacionadas aos artefatos de execução de fluxo de trabalho do GitHub Actions. |
audit_log_streaming | Contém atividades relacionadas aos logs de auditoria de streaming para organizações em uma conta corporativa. |
billing | Contém atividades relacionadas à cobrança de uma organização. |
business | Contém atividades relacionadas às configurações de negócios de uma empresa. |
business_advanced_security | Contém atividades relacionadas a GitHub Advanced Security em uma empresa. Para obter mais informações, consulte "Como gerenciar os recursos do GitHub Advanced Security na empresa". |
business_secret_scanning | Contém atividades relacionadas a secret scanning em uma empresa. Para obter mais informações, consulte "Como gerenciar os recursos do GitHub Advanced Security na empresa". |
business_secret_scanning_automatic_validity_checks | Contém atividades relacionadas à habilitação e à desabilitação de verificações de validade automáticas para a secret scanning em uma empresa. Para obter mais informações, consulte "Como gerenciar os recursos do GitHub Advanced Security na empresa". |
business_secret_scanning_custom_pattern | Contém atividades relacionadas a padrões personalizados para a secret scanning em uma empresa. |
business_secret_scanning_custom_pattern_push_protection | Contém atividades em nível de repositório relacionadas à proteção contra push de um padrão personalizado para secret scanning em uma empesa. Para obter mais informações, consulte "Definir padrões personalizados para a verificação de segredo". |
business_secret_scanning_push_protection | Contém as atividades relacionadas ao recurso de proteção contra push da secret scanning em uma empresa. Para obter mais informações, consulte "Como gerenciar os recursos do GitHub Advanced Security na empresa". |
business_secret_scanning_push_protection_custom_message | Contém atividades relacionadas à mensagem personalizada exibida quando a proteção contra push é acionada em uma empresa. Para obter mais informações, consulte "Como gerenciar os recursos do GitHub Advanced Security na empresa". |
checks | Contém atividades relacionadas aos pacotes de verificação e às execuções. |
codespaces | Contém atividades relacionadas aos codespaces de uma organização. |
commit_comment | Contém atividades relacionadas à atualização ou à exclusão de comentários de commit. |
dependabot_alerts | Contém as atividades de configuração no nível da organização para o Dependabot alerts em repositórios existentes. Para obter mais informações, consulte "Sobre alertas do Dependabot". |
dependabot_alerts_new_repos | Contém atividades de configuração no nível da organização para Dependabot alerts em novos repositórios criados na organização. |
dependabot_repository_access | Contém atividades relacionadas a quais repositórios privados de uma organização o Dependabot tem permissão para acessar. |
dependabot_security_updates | Contém as atividades de configuração no nível da organização para Dependabot security updates em repositórios existentes. Para obter mais informações, consulte "Configurando as atualizações de segurança do Dependabot". |
dependabot_security_updates_new_repos | Contém atividades de configuração de nível da organização nas Dependabot security updates para os repositórios criados na organização. |
dependency_graph | Contém atividades de configuração no nível da organização dos grafos de dependências nos repositórios. Para obter mais informações, consulte "Sobre o gráfico de dependências". |
dependency_graph_new_repos | Contém atividades de configuração no nível da organização para novos repositórios criados na organização. |
dotcom_connection | Contém atividades relacionadas ao GitHub Connect. |
enterprise | Contém atividades relacionadas às configurações da empresa. |
enterprise_domain | Contém atividades relacionadas a domínios verificados da empresa. |
enterprise_installation | Contém atividades relacionadas aos GitHub Apps associados a uma conexão corporativa do GitHub Connect. |
environment | Contém atividades relacionadas a ambientes do GitHub Actions. |
hook | Contém atividades relacionadas a webhooks. |
integration | Contém atividades relacionadas a integrações em uma conta. |
integration_installation | Contém atividades relacionadas às integrações instaladas em uma conta. |
integration_installation_request | Contém atividades relacionadas a solicitações de membros da organização para proprietários aprovarem integrações para uso na organização. |
ip_allow_list | Contém atividades relacionadas à habilitação ou à desabilitação da lista de permissões de IP para uma organização. |
ip_allow_list_entry | Contém atividades relacionadas à criação, à exclusão e à edição de uma entrada na lista de permissões de IP para uma organização. |
issue | Contém atividades relacionadas à fixação, à transferência ou à exclusão de um problema em um repositório. |
issue_comment | Contém atividades relacionadas à fixação, à transferência ou à exclusão de comentários em um problema. |
issues | Contém atividades relacionadas à habilitação ou à desabilitação da criação de problemas para uma organização. |
marketplace_agreement_signature | Contém atividades relacionadas à assinatura do Contrato de Desenvolvedor do GitHub Marketplace. |
marketplace_listing | Contém atividades relacionadas aos aplicativos de listagem do GitHub Marketplace. |
members_can_create_pages | Contém atividades relacionadas ao gerenciamento da publicação de sites do GitHub Pages para repositórios na organização. Para obter mais informações, consulte "Gerenciar a publicação dos sites do GitHub Pages para a sua organização". |
members_can_create_private_pages | Contém atividades relacionadas ao gerenciamento da publicação de sites privados do GitHub Pages para repositórios na organização. |
members_can_create_public_pages | Contém atividades relacionadas ao gerenciamento da publicação de sites públicos do GitHub Pages para repositórios na organização. |
members_can_delete_repos | Contém atividades relacionadas à habilitação ou à desabilitação da criação de repositórios para uma organização. |
members_can_view_dependency_insights | Contém atividades de configuração em nível da organização que permitem que os membros da organização vejam insights de dependência. |
migration | Contém atividades relacionadas à transferência de dados de um local de origem (como uma organização do GitHub.com ou uma instância do GitHub Enterprise Server) para uma instância de destino do GitHub Enterprise Server. |
oauth_access | Contém atividades relacionadas aos tokens de acesso OAuth. |
oauth_application | Contém atividades relacionadas a OAuth apps. |
oauth_authorization | Contém atividades relacionadas a autorização de OAuth apps. |
org | Contém atividades relacionadas à associação a uma organização. |
org_credential_authorization | Contém atividades relacionadas à autorização de credenciais para uso com o logon único do SAML. |
org_secret_scanning_automatic_validity_checks | Contém atividades relacionadas à habilitação e à desabilitação de verificações de validade automáticas para o secret scanning em uma organização. Para obter mais informações, consulte "Gerenciando as configurações de segurança e de análise da sua organização". |
org_secret_scanning_custom_pattern | Contém atividades relacionadas a padrões personalizados para secret scanning em uma organização. Para obter mais informações, consulte "Definir padrões personalizados para a verificação de segredo". |
organization_default_label | Contém atividades relacionadas a rótulos padrão de repositórios em uma organização. |
organization_domain | Contém atividades relacionadas a domínios da organização verificados. |
organization_projects_change | Contém atividades relacionadas a projetos (clássicos) em toda a organização em uma empresa. |
pages_protected_domain | Contém atividades relacionadas a domínios personalizados verificados do GitHub Pages. |
payment_method | Contém atividades relacionadas a como uma organização realiza o pagamento do GitHub. |
prebuild_configuration | Contém atividades relacionadas a configurações de pré-build do GitHub Codespaces. |
private_repository_forking | Contém atividades relacionadas à permissão de forks de repositórios privados e internos para um repositório, uma organização ou uma empresa. |
profile_picture | Contém atividades relacionadas à foto do perfil de sua organização. |
project | Contém atividades relacionadas a projetos. |
project_field | Contém atividades relacionadas à criação e à exclusão de campos em um projeto. |
project_view | Contém atividades relacionadas à criação e à exclusão de exibições em um projeto. |
protected_branch | Contém atividades relacionadas a branches protegidos. |
public_key | Contém atividades relacionadas a chaves SSH e chaves de implantação. |
pull_request | Contém atividades relacionadas a pull requests. |
pull_request_review | Contém atividades relacionadas a revisões de pull requests. |
pull_request_review_comment | Contém atividades relacionadas a comentários de revisão de pull requests. |
repo | Contém atividades relacionadas aos repositórios pertencentes a uma organização. |
repository_advisory | Contém atividades de nível do repositório relacionadas às consultorias de segurança no GitHub Advisory Database. Para obter mais informações, consulte "Sobre os avisos de segurança do repositório". |
repository_content_analysis | Contém atividades relacionadas à habilitação ou desabilitação do uso de dados para um repositório privado. Para obter mais informações, consulte "Gerenciando as configurações de segurança e análise do repositório". |
repository_dependency_graph | Contém atividades de nível do repositório relacionadas à habilitação ou à desabilitação do grafo de dependência em um repositório privado . Para obter mais informações, consulte "Sobre o gráfico de dependências". |
repository_image | Contém atividades relacionadas a imagens para um repositório. |
repository_invitation | Contém atividades relacionadas a convites para ingressar em um repositório. |
repository_projects_change | Contém atividades relacionadas à habilitação de projetos em um repositório ou em todos os repositórios de uma organização. |
repository_secret_scanning | Contém atividades de nível do repositório relacionadas à secret scanning. Para obter mais informações, consulte "Sobre a verificação de segredo". |
repository_secret_scanning_automatic_validity_checks | Contém atividades relacionadas à habilitação e desabilitação de verificações de validade automáticas de secret scanning em um repositório. Para obter mais informações, consulte "Habilitando a varredura de segredos para seu repositório". |
repository_secret_scanning_custom_pattern | Contém relacionadas a padrões personalizados da secret scanning em um repositório. Para obter mais informações, consulte "Definir padrões personalizados para a verificação de segredo". |
repository_secret_scanning_custom_pattern_push_protection | Contém atividades relacionadas à proteção contra push de um padrão personalizado para a secret scanning em um repositório. Para obter mais informações, consulte "Definir padrões personalizados para a verificação de segredo". |
repository_secret_scanning_push_protection | Contém atividades relacionadas ao recurso de proteção contra push da secret scanning em um repositório. Para obter mais informações, consulte "Sobre a proteção por push". |
repository_visibility_change | Contém atividades relacionadas a permitir que os membros da organização alterem a visibilidade do repositório para a organização. |
repository_vulnerability_alert | Contém atividades relacionadas aos Dependabot alerts. |
repository_vulnerability_alerts | Contém atividades de configuração no nível do repositório em relação ao Dependabot alerts. |
required_status_check | Contém atividades relacionadas às verificações de status obrigatórias em branches protegidos. |
restrict_notification_delivery | Contém atividades relacionadas à restrição de notificações por email para domínios aprovados ou verificados em uma empresa. |
role | Contém atividades relacionadas a funções de repositório personalizadas. |
secret_scanning | Contém atividades de configuração em nível de organização para o secret scanning em repositórios existentes. Para obter mais informações, consulte "Sobre a verificação de segredo". |
secret_scanning_new_repos | Contém atividades de configuração no nível da organização para o secret scanning para novos repositórios criados na organização. |
security_key | Contém atividades relacionadas ao registro e à remoção de chaves de segurança. |
sponsors | Contém eventos relacionados a botões do patrocinador (consulte "Exibir botão de patrocinador no repositório"). |
ssh_certificate_authority | Contém atividades relacionadas a uma autoridade de certificação SSH em uma organização ou uma empresa. |
ssh_certificate_requirement | Contém atividades relacionadas a exigir que os membros usem certificados SSH para acessar recursos da organização. |
sso_redirect | Contém atividades relacionadas ao redirecionamento automático de usuários para iniciar sessão (consulte "AUTOTITLE"). |
staff | Contém atividades relacionadas a um administrador do site que executa uma ação. |
team | Contém atividades relacionadas a equipes em uma organização. |
team_sync_tenant | Contém atividades relacionadas à sincronização de equipe com um IdP para uma empresa ou uma organização. |
user | Contém atividades relacionadas a usuários em uma empresa ou organização. |
user_license | Contém atividades relacionadas a um usuário que ocupa uma estação licenciada e que é membro de uma empresa. |
workflows | Contém as atividades relacionadas a fluxos de trabalho do GitHub Actions. |
Pesquisar com base na hora da ação
Use o qualificador created para filtrar eventos no log de auditoria com base na data em que eles ocorreram.
A formatação de data precisa seguir o padrão ISO8601, que é YYYY-MM-DD (ano-mês-dia). Adicione também informações de hora THH:MM:SS+00:00 opcionais após a data, para fazer a pesquisa por hora, minuto e segundo. Isso é T, seguido de HH:MM:SS (hora-minutos-segundos) e uma diferença UTC (+00:00).
Ao pesquisar uma data, você pode usar qualificadores de maior que, menor que e intervalo para filtrar os resultados ainda mais. Para obter mais informações, confira "Noções básicas de sintaxe de pesquisa".
Por exemplo:
created:2014-07-08localiza todos os eventos ocorridos em 8 de julho de 2014.created:>=2014-07-08localiza todos os eventos ocorridos em 8 de julho de 2014 ou após essa data.created:<=2014-07-08localiza todos os eventos ocorridos em 8 de julho de 2014 ou antes dessa data.created:2014-07-01..2014-07-31localiza todos os eventos ocorridos no mês de julho de 2014.
Pesquisar com base no local
Usando o qualificador country, você pode filtrar eventos no log de auditoria com base no país de origem. Use o código curto de duas letras ou o nome completo de um país/região. Os países/regiões com espaços no nome precisarão ser colocados entre aspas. Por exemplo:
country:delocaliza todos os eventos ocorridos na Alemanha.country:Mexicolocaliza todos os eventos ocorridos no México.country:"United States"localiza todos os eventos ocorridos nos Estados Unidos.
Pesquisar com base no token que executou a ação
Use o qualificador hashed_token para pesquisar com base no token que executou a ação. Antes de procurar um token, gere um hash SHA-256. Para obter mais informações, confira "Identificar eventos de log de auditoria executados por um token de acesso".