Sobre a pesquisa do log de auditoria da empresa
Você pode pesquisar o log de auditoria da empresa diretamente a partir da interface do usuário, usando o menu suspenso Filtros ou digitando uma consulta de pesquisa.
Para obter mais informações sobre como visualizar o seu log de auditoria corporativa, consulteAcessando o log de auditoria para sua empresa".
Você também pode usar a API para recuperar os eventos de log de auditoria. Para obter mais informações, consulteUsando a API do log de auditoria para sua empresa".
Observe que não é possível pesquisar as entradas usando texto. No entanto, é possível criar consultas de pesquisa usando diversos filtros. Muitos operadores usados ao consultar o log de auditoria, como -, >, ou <, correspondem ao mesmo formato de pesquisa no GitHub Enterprise Server. Para obter mais informações, consulte "Searching on GitHub."
Observação: The audit log lists events triggered by activities that affect your enterprise. Audit logs for GitHub Enterprise Server are retained indefinitely.
Por padrão, apenas eventos dos últimos três meses são exibidos. Para ver os eventos mais antigos, você deve especificar um intervalo de datas com o parâmetro criado. Para obter mais informações, consulte "Entender a sintaxe de pesquisa".
Filtros de consulta de pesquisa
| Filtrar | Descrição |
|---|---|
Actividade de ontem | Todas as ações criadas no dia anterior. |
Gestão de conta corporativa | Todas as ações na categoria negócios. |
Associação � organização | Todas as ações para quando um novo usuário foi convidado a participar de uma organização. |
Gestão de equipe | Todas as ações relacionadas ao gerenciamento de equipe. - Quando a conta de um usuário ou repositório foi adicionads ou removids de uma equipe - Quando um mantenedor de equipe foi promovido ou rebaixado - Quando uma equipe foi excluída |
Gerenciamento do repositório | Todas as ações para o gerenciamento de repositório. - Quando um repositório foi criado ou excluído - Quando a visibilidade do repositório foi alterada - Quando uma equipe foi adicionada ou removida de um repositório |
Atividade do hook | Todas as ações para webhooks e hooks pre-receive. |
Gerenciamento de segurança | Todas as ações referentes a chaves SSH, chaves de implantação, chaves de segurança, 2FA e logon único SAML e alertas de vulnerabilidade para repositórios. |
Sintaxe de consulta de pesquisa
Você pode compor uma consulta de pesquisa a partir de um ou mais pares de key:value, separados pelos operadores lógicos e/ou. Por exemplo, para ver todas as ações que afetaram o repositório octocat/Spoon-Knife desde o início de 2017:
repo:"octocat/Spoon-Knife" AND created:>=2017-01-01
Os pares key:value que podem ser usados em uma consulta de pesquisa são:
| Tecla | Valor |
|---|---|
actor_id | ID da conta do usuário que iniciou a ação. |
actor | Nome da conta do usuário que iniciou a ação. |
oauth_app_id | ID do aplicativo OAuth associado � ação. |
Ação | Nome da ação auditada |
user_id | ID do usuário afetado pela ação. |
usuário | Nome do usuário afetado pela ação. |
repo_id | ID do repositório afetado pela ação (se aplicável). |
repo | Nome do repositório afetado pela ação (se aplicável). |
actor_ip | Endereço IP do qual a ação foi iniciada. |
created | Hora em que a ação ocorreu. Se consultar o log de auditoria do painel de administração do site, use created_at |
from | Exibição da qual a ação foi iniciada. |
note | Informações diversas sobre eventos específicos (em texto sem formatação ou formato JSON). |
org | Nome da organização afetada pela ação (se aplicável). |
org_id | ID da organização afetada pela ação (se aplicável). |
negócios | Nome da empresa afetada pela ação (se aplicável) |
business_id | ID da empresa afetada pela ação (se aplicável) |
Para ver as ações agrupadas por categoria, você também pode usar o qualificador da ação como um par de key:value. Para obter mais informações, consulte "Pesquisa com base na ação executada. "
Para obter uma lista completa de ações no log de auditoria da empresa, consulte "Ações de logs de auditoria para a sua empresa".
Pesquisar no log de auditoria
Pesquisar com base em operação
Use o qualificador operation para limitar ações a tipos específicos de operações. Por exemplo:
operation:accessencontra todos os eventos nos quais um recurso foi acessado.operation:authenticationencontra todos os eventos nos quais um evento de autenticação foi executado.operation:createencontra todos os eventos nos quais um recurso foi criado.operation:modifyencontra todos os eventos nos quais um recurso foi modificado.operation:removeencontra todos os eventos nos quais um recurso foi removido.operation:restoreencontra todos os eventos nos quais um recurso foi restaurado.operation:transferencontra todos os eventos nos quais um recurso foi transferido.
Pesquisar com base no repositório
Use o qualificador repo para limitar ações a um repositório específico. Por exemplo:
repo:my-org/our-repolocaliza todos os eventos que ocorreram no repositórioour-repona organizaçãomy-org.repo:my-org/our-repo repo:my-org/another-repolocaliza todos os eventos que ocorreram para ambos repositóriosour-repoeanother-repona organizaçãomy-org.-repo:my-org/not-this-repoexclui todos os eventos que ocorreram no repositórionot-this-repona organizaçãomy-org.
Observe que você deve incluir o nome da conta no qualificador repo; pesquisar somente repo:our-repo não funcionará.
Pesquisar com base no usuário
O qualificador actor pode pesquisar eventos com base em quem executou a ação. Por exemplo:
actor:octocatlocaliza todos os eventos feitos poroctocat.actor:octocat actor:hubotlocaliza todos os eventos realizados por ambosoctocatehubot.-actor:hubotexclui todos os eventos realizados porhubot.
Observe que só é possível usar um nome de usuário do GitHub Enterprise Server, e não o nome verdadeiro da pessoa.
Pesquisar com base na ação
Para pesquisar eventos específicos, use o qualificador action na consulta. Por exemplo:
action:teamlocaliza todos os eventos agrupados na categoria da equipe;-action:hookexclui todos os eventos na categoria de webhook.
Cada categoria tem um conjunto de ações associadas que você pode filtrar. Por exemplo:
action:team.createlocaliza todos os eventos em que uma equipe foi criada;-action:hook.events_changedexclui todos os eventos nos quais os eventos em um webhook foram alterados.
As ações que podem ser encontradas no log de auditoria da empresa estão agrupadas nas seguintes categorias:
| Categoria | Descrição |
|---|---|
artifact | Contains activities related to GitHub Actions workflow run artifacts. |
business | Contains activities related to business settings for an enterprise. |
business | Contains activities related to business settings for an enterprise. |
checks | Contains activities related to check suites and runs. |
commit_comment | Contains activities related to updating or deleting commit comments. |
config_entry | Contains activities related to configuration settings. Esses eventos só são visíveis no log de auditoria do administrador do site. |
dependency_graph | Contains organization-level configuration activities for dependency graphs for repositories. Para obter mais informações, consulte "Sobre o gráfico de dependência". |
dotcom_connection | Contains activities related to GitHub Connect. |
gist | Contains activities related to Gists. |
issue | Contains activities related to pinning, transferring, or deleting an issue in a repository. |
members_can_create_pages | Contains activities related to managing the publication of GitHub Pages sites for repositories in the organization. Para obter mais informações, consulte "Gerenciar a publicação de sites de GitHub Pages para a sua organização". |
members_can_delete_repos | Contains activities related to enabling or disabling repository creation for an organization. |
oauth_access | Contains activities related to OAuth access tokens. |
org | Contains activities related to organization membership. |
org_credential_authorization | Contains activities related to authorizing credentials for use with SAML single sign-on. |
organization_default_label | Contains activities related to default labels for repositories in an organization. |
packages | Contains activities related to GitHub Package Registry. |
pre_receive_environment | Contains activities related to pre-receive hook environments. |
private_instance_encryption | Contains activities related to enabling private mode for an enterprise. |
private_repository_forking | Contains activities related to allowing forks of private and internal repositories, for a repository, organization or enterprise. |
project | Contains activities related to project boards. |
repo | Contains activities related to the repositories owned by an organization. |
repository_image | Contains activities related to images for a repository. |
repository_secret_scanning | Contains repository-level activities related to secret scanning. Para obter mais informações, consulte "Sobre a varredura de segredos." |
repository_vulnerability_alert | Contains activities related to Alertas do Dependabot. |
secret_scanning | Contains organization-level configuration activities for secret scanning in existing repositories. Para obter mais informações, consulte "Sobre a varredura de segredos." |
security_key | Contains activities related to security keys registration and removal. |
ssh_certificate_authority | Contains activities related to a SSH certificate authority in an organization or enterprise. |
staff | Contains activities related to a site admin performing an action. |
two_factor_authentication | Contains activities related to two-factor authentication. |
user | Contains activities related to users in an enterprise or organization. |
user_license | Contains activities related to a user occupying a licensed seat in, and being a member of, an enterprise. |
Pesquisar com base na hora da ação
Use o qualificador created para filtrar eventos no log de auditoria com base na hora que elas ocorreram.
O formato de data deve seguir o padrão ISO8601, que é YYYY-MM-DD (ano-mês-dia). Você também pode adicionar informações de tempo opcionais THH:MM:SS+00:00 após a data, para pesquisar por hora, minuto e segundo. Isso se faz adicionando T, seguido de HH:MM:SS (hora-minutos-segundos) e um intervalo de UTC (+00:00).
Ao pesquisar uma data, você pode usar qualificadores de maior que, menor que e intervalo para filtrar os resultados ainda mais. Para obter mais informações, consulte "Entender a sintaxe de pesquisa".
Por exemplo:
created:2014-07-08localiza todos os eventos ocorridos em 8 de julho de 2014;created:>=2014-07-08localiza todos os eventos ocorridos em 8 de julho de 2014 ou depois dessa data;created:<=2014-07-08localiza todos os eventos ocorridos em 8 de julho de 2014 ou antes dessa data;created:2014-07-01..2014-07-31localiza todos os eventos ocorridos em julho de 2014.
Pesquisar com base no local
Ao usar o qualificador país, você pode filtrar eventos no log de auditoria com base no país de origem. Você pode usar o código curto de duas letras de um país ou o nome completo. Os países com espaços no seu nome terão de ser escritos entre aspas. Por exemplo:
country:delocaliza todos os eventos ocorridos na Alemanha;country:Mexicolocaliza todos os eventos ocorridos no México;country:"United States"localiza todos os eventos ocorridos nos Estados Unidos.