Сведения о поиске журнала аудита предприятия
Поиск в журнале аудита предприятия можно выполнить непосредственно в пользовательском интерфейсе с помощью раскрывающегося списка Фильтры или ввести поисковый запрос.
Дополнительные сведения о просмотре журнала аудита предприятия см. в разделе Доступ к журналу аудита для предприятия.
Примечание.
События Git не включены в результаты поиска.
Кроме того, для получения событий журнала аудита можно использовать API. Дополнительные сведения см. в разделе Использование API журнала аудита для предприятия.
Поиск записей по тексту невозможен. При этом можно составлять поисковые запросы, используя различные фильтры. Многие операторы, используемые при запросе к журналу, например -, >или <совпадают с тем же форматом, что и поиск по GitHub. Дополнительные сведения см. в разделе О поиске на GitHub.
Примечание.
Журнал аудита перечисляет события, активируемые действиями, влияющими на ваше предприятиеот ghes %}. Журналы аудита для GitHub хранятся неограниченное время, если владелец предприятия не настроил другой период хранения. См. Настройка журнала аудита для предприятия. за последние 180 дней. События Git хранятся в журнале аудита семь дней —
По умолчанию отображаются только события за последние три месяца. Чтобы увидеть старые события, необходимо указать диапазон дат с параметром created. См . раздел AUTOTITLE.
Фильтры поисковых запросов
| Фильтр | Description |
|---|---|
Yesterday's activity | Все действия, созданные за последний день. |
Enterprise account management | Все действия в категории business. |
Organization membership | Все действия, выполняемые в процессе приглашения нового пользователя на присоединение к организации. |
Team management | Все действия, связанные с управлением командой. — При добавлении или удалении учетной записи пользователя или репозитория из команды — При повышении или понижении уровня поддержки команды — При удалении команды |
Repository management | Все действия для управления репозиториями. — При создании или удалении репозитория — При изменении видимости репозитория — При добавлении или удалении команды из репозитория |
Hook activity | Все действия для веб-перехватчиков и перехватчиков предварительного получения. |
Security management | Все действия, касающиеся ключей SSH, ключей развертывания, ключей безопасности, двухфакторной проверки подлинности, проверки подлинности учетных данных единого входа SAML и оповещений об уязвимостях для репозиториев. |
Синтаксис поискового запроса
Вы можете создать поисковый запрос из одной или нескольких key:value пар. Например, чтобы просмотреть все действия, которые повлияли на репозиторий octocat/Spoon-Knife с начала 2017 г.:
repo:"octocat/Spoon-Knife" created:>=2017-01-01
Пары key:value, которые можно использовать в поисковом запросе:
| Ключ | Значение |
|---|---|
action | Имя проверенного действия. |
actor | Имя учетной записи, с которой было инициировано действие. |
actor_id | Идентификатор учетной записи пользователя, инициирующей действие. |
actor_ip | IP-адрес, из которого было инициировано действие. |
business | Имя предприятия, затронутого действием (если применимо). |
business_id | Идентификатор предприятия, затронутого действием (если применимо). |
created | Время, в течение которого произошло действие. Если запросите журнал аудита с панели мониторинга администратора сайта, используйте created_at его. |
country | Имя страны, где актер был при выполнении действия. |
country_code | Двухбуквенный короткий код страны, где актер был при выполнении действия. |
from | Представление, из которого было инициировано действие. |
hashed_token | Маркер, используемый для проверки подлинности для действия (если применимо, см . autoTITLE). |
ip | IP-адрес субъекта. |
note | Другие сведения о событиях (в формате обычного текста или JSON). |
oauth_app_id | Идентификатор OAuth app, связанный с действием. |
operation | Тип операции, соответствующий действию. Типы операций: create, access, modify``remove, authentication, transferи restore. |
org | Имя организации, затронутой действием (если применимо). |
org_id | Идентификатор организации, затронутой действием (если применимо). |
repo_id | Идентификатор репозитория, затронутого действием (если применимо). |
repository | Имя владельца репозитория, в котором произошло действие (например "octocat/octo-repo"). |
user_id | Идентификатор пользователя, затронутого действием. |
user | Имя пользователя, затронутого действием. Если действие было выполнено агентом, то в этом поле указывается имя пользователя, от имени которого агент действовал. |
Чтобы просмотреть действия, сгруппированные по категориям, также можно использовать квалификатор действия в качестве пары key:value. Дополнительные сведения см. в разделе "Поиск" на основе выполняемого действия.
Полный список действий в журнале аудита предприятия см. в разделе События журнала аудита для вашего предприятия.
Поиск в журнале аудита
Поиск по операции
Чтобы ограничить действия определенными типами операций, используйте квалификатор operation. Например:
operation:accessнаходит все события, в которых осуществлялся доступ к ресурсу.operation:authenticationнаходит все события, в которых происходило событие проверки подлинности.operation:createнаходит все события, в которых создавался ресурс.operation:modifyнаходит все события, в которых изменялся существующий ресурс.operation:removeнаходит все события, в которых удалялся существующий ресурс.operation:restoreнаходит все события, в которых восстанавливался существующий ресурс.operation:transferнаходит все события, в которых переносился существующий ресурс.
Поиск по репозиторию
Чтобы ограничить действия определенным репозиторием, используйте квалификатор repo. Например:
repo:"my-org/our-repo"находит все произошедшие события для репозиторияour-repoв организацииmy-org.repo:"my-org/our-repo" repo:"my-org/another-repo"находит все произошедшие события для репозиториевour-repoиanother-repoв организацииmy-org.-repo:"my-org/not-this-repo"исключает все произошедшие события для репозиторияnot-this-repoв организацииmy-org.
Обратите внимание, что необходимо включить имя учетной записи в repo квалификатор и поместить его в кавычки или экранировать / с помощью ; \поиск только repo:our-repo или repo:my-org/our-repo не будет работать.
Поиск по актеру
Квалификатор actor может ограничивать события на основе пользователя или агента, выполнившего действие. Например:
actor:octocatнаходит все события, выполненные пользователемoctocat.actor:octocat actor:Copilotнаходит все события, выполненныеoctocatилиCopilot.-actor:Copilotисключает все события, выполненные пользователемCopilot.
Обратите внимание, что вы можете использовать только имя пользователя GitHub, а не реальное имя пользователя.
Поиск с учетом выполненного действия
Для поиска определенных событий используйте квалификатор action в запросе. Например:
action:teamнаходит все события, сгруппированные в категории команды.-action:hookисключает все события в категории веб-перехватчика.
Каждая категория содержит набор связанных действий, для которых можно выполнить фильтрацию. Например:
action:team.createнаходит все события, в которых создавалась команда.-action:hook.events_changedисключает все события, в рамках которых изменялись события в веб-перехватчике.
Действия, которые можно найти в журнале аудита предприятия, группируются по следующим категориям:
| Название категории | Description |
|---|---|
artifact | Содержит действия, связанные с артефактами выполнения артефактов рабочего процесса GitHub Actions. |
audit_log_streaming | Содержит действия, связанные с журналами аудита потоковой передачи для организаций в корпоративной учетной записи. |
business | Содержит действия, связанные с параметрами бизнеса для предприятия. |
business_advanced_security | Содержит действия, связанные с Advanced Security в организации. |
business_secret_scanning | Содержит действия, связанные с secret scanning в организации. |
business_secret_scanning_automatic_validity_checks | Содержит действия, связанные с включением или отключением автоматических проверок допустимости для secret scanning в организации. |
business_secret_scanning_custom_pattern | Содержит действия, связанные с пользовательскими шаблонами для secret scanning в организации. |
business_secret_scanning_custom_pattern_push_protection | Содержит действия, связанные с принудительной защитой пользовательского шаблона для secret scanning в организации. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов. |
business_secret_scanning_push_protection | Содержит действия, связанные с функцией принудительной защиты secret scanning в организации. |
business_secret_scanning_push_protection_custom_message | Содержит действия, связанные с пользовательским сообщением, отображаемым при активации защиты push-уведомлений в организации. |
checks | Содержит действия, связанные с контрольными наборами и запусками. |
commit_comment | Содержит действия, связанные с обновлением или удалением комментариев фиксации. |
config_entry | Содержит действия, связанные с параметрами конфигурации. Эти события отображаются только в журнале аудита администратора сайта. |
dependabot_alerts | Содержит действия конфигурации уровня организации для Dependabot alerts в существующих репозиториях. Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot. |
dependabot_alerts_new_repos | Содержит действия конфигурации уровня организации для Dependabot alerts в новых репозиториях, созданных в организации. |
dependabot_repository_access | Содержит действия, связанные с частными репозиториями в организации Dependabot разрешен доступ. |
dependabot_security_updates | Содержит действия конфигурации уровня организации для Dependabot security updates в существующих репозиториях. Дополнительные сведения см. в разделе Настройка обновлений для системы безопасности Dependabot. |
dependabot_security_updates_new_repos | Содержит действия по настройке уровня организации для Dependabot security updates для новых репозиториев, созданных в организации. |
dependency_graph | Содержит действия конфигурации уровня организации для граф зависимостей для репозиториев. Дополнительные сведения см. в разделе Сведения о графе зависимостей. |
dependency_graph_new_repos | Содержит действия по настройке на уровне организации для новых репозиториев, созданных в организации. |
dotcom_connection | Содержит действия, связанные с GitHub Connect. |
enterprise | Содержит действия, связанные с параметрами предприятия. |
hook | Содержит действия, связанные с веб-перехватчиками. |
integration | Содержит действия, связанные с интеграцией в учетной записи. |
integration_installation | Содержит действия, связанные с интеграцией, установленной в учетной записи. |
integration_installation_request | Содержит действия, связанные с запросами участников организации для утверждения интеграции для использования в организации. |
issue | Содержит действия, связанные с закреплением, передачей или удалением проблемы в репозитории. |
issue_comment | Содержит действия, связанные с закреплением, передачей или удалением комментариев о проблемах. |
issues | Содержит действия, связанные с включением или отключением создания проблем для организации. |
members_can_create_pages | Содержит действия, связанные с управлением публикацией сайтов GitHub Pages для репозиториев в организации. Дополнительные сведения см. в разделе Управление публикацией сайтов GitHub Pages для вашей организации. |
members_can_create_private_pages | Содержит действия, связанные с управлением публикацией частных сайтов GitHub Pages для репозиториев в организации. |
members_can_create_public_pages | Содержит действия, связанные с управлением публикацией общедоступных сайтов GitHub Pages для репозиториев в организации. |
members_can_delete_repos | Содержит действия, связанные с включением или отключением создания репозитория для организации. |
oauth_access | Содержит действия, связанные с маркерами доступа OAuth. |
oauth_application | Содержит действия, связанные с OAuth apps. |
org | Содержит действия, связанные с членством в организации. |
org_credential_authorization | Содержит действия, связанные с авторизацией учетных данных для использования с единым входом SAML. |
org_secret_scanning_automatic_validity_checks | Содержит действия, связанные с включением или отключением автоматических проверок допустимости для secret scanning в организации. Дополнительные сведения см. в разделе Управление параметрами безопасности и анализа для организации. |
org_secret_scanning_custom_pattern | Содержит действия, связанные с пользовательскими шаблонами для secret scanning в организации. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов. |
organization_default_label | Содержит действия, связанные с метками по умолчанию для репозиториев в организации. |
organization_domain | Содержит действия, связанные с проверенными доменами организации. |
organization_projects_change | Содержит действия, связанные с данными на уровне организации проекты в организации. |
pre_receive_environment | Содержит действия, связанные с средами перехватчика предварительного получения. |
pre_receive_hook | Содержит действия, связанные с перехватчики предварительного получения. |
private_instance_encryption | Содержит действия, связанные с включением частного режима для предприятия. |
private_repository_forking | Содержит действия, связанные с разрешением вилок частных и внутренних репозиториев для репозитория, организации или предприятия. |
project | Содержит действия, связанные с проектами. |
project_field | Содержит действия, связанные с созданием и удалением полей в проекте. |
project_view | Содержит действия, связанные с созданием и удалением в проекте. |
protected_branch | Содержит действия, связанные с защищенная ветвь. |
public_key | Содержит действия, связанные с ключами SSH и ключ развертывания. |
pull_request | Содержит действия, связанные с запросами на вытягивание. |
pull_request_review | Содержит действия, связанные с проверка запроса на вытягивание. |
pull_request_review_comment | Содержит действия, связанные с проверка запроса на вытягивание комментариями. |
repo | Содержит действия, связанные с репозиториями, принадлежащими организации. |
repository_image | Содержит действия, связанные с изображениями для репозитория. |
repository_invitation | Содержит действия, связанные с приглашениями на присоединение к репозиторию. |
repository_projects_change | Содержит действия, связанные с включением проектов для репозитория или для всех репозиториев в организации. |
repository_secret_scanning | Содержит действия уровня репозитория, связанные с secret scanning. Дополнительные сведения см. в разделе Сведения о проверке секретов. |
repository_secret_scanning_automatic_validity_checks | Содержит действия, связанные с включением или отключением автоматических проверок допустимости для secret scanning в репозитории. Дополнительные сведения см. в разделе Включение проверки секретов для репозитория. |
repository_secret_scanning_custom_pattern | Содержит действия, связанные с пользовательскими шаблонами secret scanning в репозитории. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов. |
repository_secret_scanning_custom_pattern_push_protection | Содержит действия, связанные с принудительной защитой пользовательского шаблона для secret scanning в репозитории. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов. |
repository_secret_scanning_push_protection | Содержит действия, связанные с функцией принудительной защиты secret scanning в репозитории. Дополнительные сведения см. в разделе Сведения о защите push-уведомлений. |
repository_vulnerability_alert | Содержит действия, связанные с Dependabot alerts. |
restrict_notification_delivery | Содержит действия, связанные с ограничением Уведомления по электронной почте утвержденным или проверенным доменам для предприятия. |
role | Содержит действия, связанные с пользовательскими ролями репозитория. |
secret_scanning | Содержит действия конфигурации уровня организации для secret scanning в существующих репозиториях. Дополнительные сведения см. в разделе Сведения о проверке секретов. |
secret_scanning_new_repos | Содержит действия конфигурации уровня организации для secret scanning для новых репозиториев, созданных в организации. |
security_key | Содержит действия, связанные с регистрацией и удалением ключей безопасности. |
ssh_certificate_authority | Содержит действия, связанные с центром сертификации SSH в организации или организации. |
ssh_certificate_requirement | Содержит действия, связанные с требованием использования сертификатов SSH для доступа к ресурсам организации. |
staff | Содержит действия, связанные с администратором сайта, выполняющим действие. |
team | Содержит действия, связанные с командами в организации. |
two_factor_authentication | Содержит действия, связанные с двухфакторной проверкой подлинности. |
user | Содержит действия, связанные с пользователями в организации или организации. |
user_license | Содержит действия, связанные с пользователем, занимающим лицензированное место и являясь членом предприятия. |
workflows | Содержит действия, связанные с рабочими процессами GitHub Actions. |
Поиск с учетом времени действия
Используйте квалификатор created для фильтрации событий в журнале аудита с учетом времени их возникновения.
Форматы дат должны соответствовать стандарту ISO8601: YYYY-MM-DD (год-месяц-день). Кроме того, можно добавить дополнительные сведения о времени THH:MM:SS+00:00 после даты, чтобы выполнить поиск по часам, минутам и секундам. Это T, а затем идет HH:MM:SS (час, минуты, секунды) и смещение от UTC (+00:00).
При поиске по дате можно использовать квалификаторы "больше", "меньше" и "диапазон" для дополнительной фильтрации результатов. Дополнительные сведения см. в разделе Основные сведения о синтаксисе поиска.
Например:
created:2014-07-08находит все события, произошедшие 8 июля 2014 г.created:>=2014-07-08находит все события, произошедшие после 8 июля 2014 г.created:<=2014-07-08находит все события, произошедшие до 8 июля 2014 г.created:2014-07-01..2014-07-31находит все события, произошедшие в июле 2014 г.
Поиск по расположению
С помощью квалификатора country можно выполнить фильтрацию событий в журнале аудита с учетом страны-происхождения. Можно использовать короткий двухбуквенный код страны или ее полное название. Имейте в виду, что страны, в названиях которых есть пробелы, необходимо заключать в кавычки. Например:
country:deнаходит все события, произошедшие в Германии.country:Mexicoнаходит все события, произошедшие в Мексике.country:"United States"все находит события, произошедшие в United States.
Поиск на основе маркера, выполняющего действие
`hashed_token` Используйте квалификатор для поиска на основе маркера, выполняющего действие. Перед поиском маркера необходимо создать хэш SHA-256. Дополнительные сведения см. в разделе [AUTOTITLE](/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/identifying-audit-log-events-performed-by-an-access-token).