Сведения о поиске журнала аудита предприятия
Поиск в журнале аудита предприятия можно выполнить непосредственно в пользовательском интерфейсе с помощью раскрывающегося списка Фильтры или ввести поисковый запрос.
Дополнительные сведения о просмотре журнала аудита предприятия см. в разделе Доступ к журналу аудита для вашей организации.
Кроме того, для получения событий журнала аудита можно использовать API. Дополнительные сведения см. в разделе Использование API журнала аудита для предприятия.
Поиск записей по тексту невозможен. При этом можно составлять поисковые запросы, используя различные фильтры. Многие операторы, используемые в запросах к журналу, например -, > и <, используются в том же формате, что и при поиске в GitHub Enterprise Server. Дополнительные сведения см. в разделе Поиск в GitHub.
Примечание: В журнале аудита перечисляются события, которые активируются действиями, влияющими на ваше предприятие. Журналы аудита для GitHub Enterprise Server хранятся неограниченное время.
По умолчанию отображаются только события за последние три месяца. Чтобы увидеть старые события, необходимо указать диапазон дат с параметром created. Для получения дополнительной информации см. раздел Основные сведения о различных ролях.
Фильтры поисковых запросов
| Filter | Описание |
|---|---|
Yesterday's activity | Все действия, созданные за последний день. |
Enterprise account management | Все действия в категории business. |
Organization membership | Все действия, выполняемые в процессе приглашения нового пользователя на присоединение к организации. |
Team management | Все действия, связанные с управлением командой. — При добавлении или удалении учетной записи пользователя или репозитория из команды — При повышении или понижении уровня поддержки команды — При удалении команды |
Repository management | Все действия для управления репозиториями. — При создании или удалении репозитория — При изменении видимости репозитория — При добавлении или удалении команды из репозитория |
Hook activity | Все действия для веб-перехватчиков и перехватчиков предварительного получения. |
Security management | Все действия, касающиеся ключей SSH, ключей развертывания, ключей безопасности, двухфакторной проверки подлинности, проверки подлинности учетных данных единого входа SAML и оповещений об уязвимостях для репозиториев. |
Синтаксис поискового запроса
Поисковый запрос можно создать из одной или нескольких пар key:value, разделенных логическими операторами «И»/»ИЛИ». Например, чтобы просмотреть все действия, которые повлияли на репозиторий octocat/Spoon-Knife с начала 2017 г.:
repo:"octocat/Spoon-Knife" AND created:>=2017-01-01
Пары key:value, которые можно использовать в поисковом запросе:
| Ключ | Значение |
|---|---|
actor_id | Идентификатор учетной записи пользователя, которая инициировала действие |
actor | Имя учетной записи пользователя, которая инициировала действие |
oauth_app_id | Идентификатор приложения OAuth, связанного с действием |
action | Имя проверяемого действия |
user_id | Идентификатор пользователя, на которого повлияло действие |
user | Имя пользователя, на которого повлияло действие |
repo_id | Идентификатор репозитория, на который повлияло действие (если применимо) |
repo | Имя репозитория, на который повлияло действие (если применимо) |
actor_ip | IP-адрес, с которого было инициировано действие |
created | Время, при котором произошло действие. При запросе журнала аудита с панели мониторинга администратора сайта используйте created_at вместо |
from | Представление, с которого было инициировано действие |
note | Прочие сведения о событиях (в формате обычного текста или JSON) |
org | Имя организации, на которое повлияло действие (если применимо) |
org_id | Идентификатор организации, на которое повлияло действие (если применимо) |
business | Имя предприятия, на которое повлияло действие (если применимо) |
business_id | Идентификатор предприятия, на которое повлияло действие (если применимо) |
Чтобы просмотреть действия, сгруппированные по категориям, также можно использовать квалификатор действия в качестве пары key:value. Дополнительные сведения см. в разделе Поиск на основе выполненного действия.
Полный список действий журнала аудита предприятия см. в разделе Действия журнала аудита для корпорации.
Поиск в журнале аудита
Поиск по операции
Чтобы ограничить действия определенными типами операций, используйте квалификатор operation. Пример:
operation:accessнаходит все события, в которых осуществлялся доступ к ресурсу.operation:authenticationнаходит все события, в которых происходило событие проверки подлинности.operation:createнаходит все события, в которых создавался ресурс.operation:modifyнаходит все события, в которых изменялся существующий ресурс.operation:removeнаходит все события, в которых удалялся существующий ресурс.operation:restoreнаходит все события, в которых восстанавливался существующий ресурс.operation:transferнаходит все события, в которых переносился существующий ресурс.
Поиск по репозиторию
Чтобы ограничить действия определенным репозиторием, используйте квалификатор repo. Пример:
repo:my-org/our-repoнаходит все произошедшие события для репозиторияour-repoв организацииmy-org.repo:my-org/our-repo repo:my-org/another-repoнаходит все произошедшие события для репозиториевour-repoиanother-repoв организацииmy-org.-repo:my-org/not-this-repoисключает все произошедшие события для репозиторияnot-this-repoв организацииmy-org.
Обратите внимание, что в квалификатор необходимо включить имя учетной записи repo. Поиск просто по запросу repo:our-repo работать не будет.
Поиск по пользователю
Квалификатор actor может ограничивать события в зависимости от того, кто выполнил действие. Пример:
actor:octocatнаходит все события, выполненные пользователемoctocat.actor:octocat actor:hubotнаходит все события, выполняемыеoctocatилиhubot.-actor:hubotисключает все события, выполненные пользователемhubot.
Обратите внимание, что можно использовать только имя пользователя GitHub Enterprise Server; фактическое имя использовать нельзя.
Поиск с учетом выполненного действия
Для поиска определенных событий используйте квалификатор action в запросе. Пример:
action:teamнаходит все события, сгруппированные в категории команды.-action:hookисключает все события в категории веб-перехватчика.
Каждая категория содержит набор связанных действий, для которых можно выполнить фильтрацию. Пример:
action:team.createнаходит все события, в которых создавалась команда.-action:hook.events_changedисключает все события, в рамках которых изменялись события в веб-перехватчике.
Действия, которые можно найти в журнале аудита предприятия, группируются по следующим категориям:
| Имя категории | Описание
|------------------|------------------- | artifact | Содержит действия, связанные с артефактами запуска рабочего процесса GitHub Actions. | business | Содержит действия, связанные с бизнес-параметрами для предприятия. | checks | Содержит действия, связанные с наборами проверок и запусками. | commit_comment | Содержит действия, связанные с обновлением или удалением комментариев фиксации. | config_entry | Содержит действия, связанные с параметрами конфигурации. Эти события видимы только в журнале аудита администратора сайта.
| dependabot_alerts | Содержит действия по настройке на уровне организации для Dependabot alerts в существующих репозиториях. Дополнительные сведения см. в статье "Сведения о Dependabot alerts".
| dependabot_alerts_new_repos | Содержит действия, связанные с конфигурацией на уровне организации, для Dependabot alerts в новых репозиториях, созданных в организации.
| dependabot_repository_access Содержит действия, связанные с частными репозиториями в Dependabot, к которым разрешен доступ. | dependabot_security_updates | Содержит действия конфигурации на уровне организации для Dependabot security updates в существующих репозиториях. Дополнительные сведения см. в разделе Настройка обновлений версий Dependabot security updates.
| dependabot_security_updates_new_repos| Содержит действия, связанные с конфигурацией на уровне организации, для Dependabot security updates для новых репозиториев, созданных в организации. | dependency_graph | Содержит действия, связанные с конфигурацией на уровне организации, для графов зависимостей для репозиториев. Дополнительные сведения см. в разделе Сведения о графе зависимостей.
| dependency_graph_new_repos | Содержит действия, связанные с конфигурацией на уровне организации, для новых репозиториев, созданных в организации. | dotcom_connection | Содержит действия, связанные с GitHub Connect.
| enterprise | Содержит действия, связанные с параметрами предприятия. | gist | Содержит действия, связанные с gist.
| hook | Содержит действия, связанные с веб-перехватчиками.
| integration | Содержит действия, связанные с интеграциями в учетной записи.
| integration_installation | Содержит действия, связанные с интеграциями, установленными в учетной записи.
| integration_installation_request | Содержит действия, связанные с запросами участников организации на утверждение интеграций владельцами для использования в организации. | issue | Содержит действия, связанные с закреплением, переносом или удалением проблемы в репозитории.
| issue_comment | Содержит действия, связанные с закреплением, переносом или удалением комментариев к проблеме.
| issues | Содержит действия, связанные с включением или отключением создания проблем для организации. | members_can_create_pages | Содержит действия, связанные с управлением публикацией сайтов GitHub Pages для репозиториев в организации. Дополнительные сведения см. в разделе Управление публикацией сайтов GitHub Pages для организации.
| members_can_create_private_pages | Содержит действия, связанные с управлением публикацией частных сайтов GitHub Pages для репозиториев в организации.
| members_can_create_public_pages | Содержит действия, связанные с управлением публикацией общедоступных сайтов GitHub Pages для репозиториев в организации. | members_can_delete_repos | Содержит действия, связанные с включением или отключением создания репозитория для организации. | oauth_access | Содержит действия, связанные с маркерами доступа OAuth.
| oauth_application | Содержит действия, связанные с приложениями OAuth. | org | Содержит действия, связанные с членством в организации. | org_credential_authorization | Содержит действия, связанные с авторизацией учетных данных для использования с единым входом SAML. | organization_default_label | Содержит действия, связанные с метками по умолчанию для репозиториев в организации. | organization_domain | Содержит действия, связанные с проверенными доменами организации.
| organization_projects_change | Содержит действия, связанные с досками проектов на уровне организации в предприятии. | pre_receive_environment | Содержит действия, связанные со средами перехватчиков предварительного получения.
| pre_receive_hook | Содержит действия, связанные с перехватчиками предварительного получения. | private_instance_encryption | Содержит действия, связанные с включением частного режима для предприятия. | private_repository_forking | Содержит действия, связанные с разрешением вилок частных и внутренних репозиториев для репозитория, организации или предприятия. | project | Содержит действия, связанные с досками проектов.
| project_field | Содержит действия, связанные с созданием и удалением полей на доске проектов.
| project_view | Содержит действия, связанные с созданием и удалением представлений на доске проектов.
| protected_branch | Содержит действия, связанные с защищенными ветвями.
| public_key | Содержит действия, связанные с ключами SSH и ключами развертывания.
| pull_request | Содержит действия, связанные с запросами на вытягивание.
| pull_request_review | Содержит действия, связанные с проверками запросов на вытягивание.
| pull_request_review_comment | Содержит действия, связанные с комментариями проверки запросов на вытягивание.
| repo | Содержит действия, связанные с принадлежащими организации репозиториями. | repository_image | Содержит действия, связанные с образами для репозитория.
| repository_invitation | Содержит действия, связанные с приглашениями на присоединение к репозиторию.
| repository_projects_change | Содержит действия, связанные с включением проектов для репозитория или для всех репозиториев в организации. | repository_secret_scanning | Содержит действия уровня репозитория, связанные с secret scanning. Дополнительные сведения см. в разделе Сведения о secret scanning. | repository_vulnerability_alert | Содержит действия, связанные с Dependabot alerts. | restrict_notification_delivery | Содержит действия, связанные с ограничением уведомлений по электронной почте для утвержденных или проверенных доменов для предприятия. | secret_scanning | Содержит действия конфигурации на уровне организации для secret scanning в существующих репозиториях. Дополнительные сведения см. в разделе Сведения о secret scanning.
| secret_scanning_new_repos | Содержит действия по настройке на уровне организации для secret scanning для новых репозиториев, созданных в организации. | security_key | Содержит действия, связанные с регистрацией и удалением ключей безопасности. | ssh_certificate_authority | Содержит действия, связанные с центром сертификации SSH в организации или на предприятии.
| ssh_certificate_requirement | Содержит действия, связанные с требованием к участникам использовать сертификаты SSH для доступа к ресурсам организации. | staff | Содержит действия, связанные с администратором сайта, выполняющим действие.
| team | Содержит действия, связанные с командами в организации.
| team_discussions | Содержит действия, связанные с управлением обсуждениями команд для организации. | two_factor_authentication | Содержит действия, связанные с двухфакторной проверкой подлинности. | user | Содержит действия, связанные с пользователями организации или предприятия. | user_license | Содержит действия, связанные с пользователем, который занимает лицензионное рабочее место и является участником предприятия. | workflows | Содержит действия, связанные с рабочими процессами GitHub Actions.
Поиск с учетом времени действия
Используйте квалификатор created для фильтрации событий в журнале аудита с учетом времени их возникновения.
Форматы дат должны соответствовать стандарту ISO8601: YYYY-MM-DD (год-месяц-день). Кроме того, можно добавить дополнительные сведения о времени THH:MM:SS+00:00 после даты, чтобы выполнить поиск по часам, минутам и секундам. Это T, а затем идет HH:MM:SS (час, минуты, секунды) и смещение от UTC (+00:00).
При поиске по дате можно использовать квалификаторы "больше", "меньше" и "диапазон" для дополнительной фильтрации результатов. Для получения дополнительной информации см. раздел Основные сведения о различных ролях.
Пример:
created:2014-07-08находит все события, произошедшие 8 июля 2014 г.created:>=2014-07-08находит все события, произошедшие после 8 июля 2014 г.created:<=2014-07-08находит все события, произошедшие до 8 июля 2014 г.created:2014-07-01..2014-07-31находит все события, произошедшие в июле 2014 г.
Поиск по расположению
С помощью квалификатора country можно выполнить фильтрацию событий в журнале аудита с учетом страны-происхождения. Можно использовать короткий двухбуквенный код страны или ее полное название. Имейте в виду, что страны, в названиях которых есть пробелы, необходимо заключать в кавычки. Пример:
country:deнаходит все события, произошедшие в Германии.country:Mexicoнаходит все события, произошедшие в Мексике.country:"United States"находит события, произошедшие в США.