Acerca de la búsqueda en el registro de auditoría de la entidad
Puede buscar en el registro de auditoría de la empresa directamente desde la interfaz de usuario mediante la lista desplegable Filtros o si escribe una consulta de búsqueda.
Para obtener más información sobre la visualización del registro de auditoría de la empresa, consulta Acceso al registro de auditoría de la empresa.
Nota:
Los eventos de Git no se incluyen en los resultados de la búsqueda.
También puede usar la API para recuperar eventos de registro de auditoría. Para más información, consulta Uso de la API de registro de auditoría para la empresa.
No puedes buscar entradas mediante texto. Sin embargo, puedes construir consultas de búsqueda utilizando una variedad de filtros. Muchos operadores que se utilizan cuando se consulta el registro, tales como -, > o <, coinciden con el mismo formato de búsqueda en GitHub. Para más información, consulta Acerca de la búsqueda en GitHub.
Nota:
El registro de auditoría muestra los eventos que desencadenan las actividades que afectan a la empresa. Los registros de auditoría de GitHub se conservan indefinidamente, a menos que un propietario de la empresa haya configurado un período de retención diferente. Consulta Configuración del registro de auditoría de la empresa.
De forma predeterminada, solo se muestran los eventos de los últimos tres meses. Para ver eventos anteriores, debe especificar un intervalo de fechas con el parámetro created. Consulta Entender la sintaxis de búsqueda.
Filtros de consulta de búsqueda
| Filtro | Descripción |
|---|---|
Yesterday's activity | Todas las acciones creadas en el último día. |
Enterprise account management | Todas las acciones de la categoría business. |
Organization membership | Todas las acciones para cuando se ha invitado a un nuevo usuario a unirse a una organización. |
Team management | Todas las acciones relacionadas con la administración de equipos. - Cuando se ha agregado o quitado una cuenta de usuario o un repositorio de un equipo - Cuando un mantenedor de equipo fue promocionado o degradado - Cuando se ha eliminado un equipo |
Repository management | Todas las acciones para la administración de repositorios. - Cuando se ha creado o eliminado un repositorio - Cuando se ha cambiado la visibilidad del repositorio - Cuando se ha agregado o quitado un equipo de un repositorio |
Hook activity | Todas las acciones de webhooks y enlaces de recepción previa. |
Security management | Todas las acciones relacionadas con las claves SSH, las claves de implementación, las claves de seguridad, 2FA y la autorización de credenciales de inicio de sesión único de SAML y las alertas de vulnerabilidades para los repositorios. |
Sintaxis de la consulta de búsqueda
Puedes crear una consulta de búsqueda desde uno o varios pares key:value. Por ejemplo, para ver todas las acciones que han afectado al repositorio octocat/Spoon-Knife desde principios de 2017:
repo:"octocat/Spoon-Knife" created:>=2017-01-01
Los pares key:value que se pueden usar en una consulta de búsqueda son los siguientes:
| Clave | Valor |
|---|---|
action | Nombre de la acción auditada. |
actor | Nombre de la cuenta que inició la acción. |
actor_id | Id. de la cuenta de usuario que inició la acción. |
actor_ip | Dirección IP desde donde se inició la acción. |
business | Nombre de la empresa afectada por la acción (si procede). |
business_id | Id. de la empresa afectada por la acción (si procede). |
created | Hora a la que se produjo la acción. Si consulta el registro de auditoría desde el panel de administración del sitio, use created_at en su lugar. |
country | Nombre del país donde estaba el actor al realizar la acción. |
country_code | Código corto de dos letras del país donde estaba el actor al realizar la acción. |
from | Vista desde la que se inició la acción. |
hashed_token | El token que se usó para autenticarse para la acción (si procede, consulta Identificación de eventos de registro de auditoría realizados por un token de acceso). |
ip | Dirección IP del actor. |
note | Información específica de eventos varios (en formato JSON o texto sin formato). |
oauth_app_id | Id. del OAuth app asociado a la acción. |
operation | Tipo de operación que corresponde a la acción. Los tipos de operación son create, access, modify, remove, authentication, transfery restore. |
org | Nombre de la organización afectada por la acción (si procede). |
org_id | Id. de la organización afectada por la acción (si procede). |
repo_id | Id. del repositorio afectado por la acción (si procede). |
repository | Nombre del propietario del repositorio donde se produjo la acción (por ejemplo, "octocat/octo-repo"). |
user_id | Id. del usuario afectado por la acción. |
user | Nombre del usuario afectado por la acción. Si un agente realizó la acción, este campo contiene el nombre del usuario para el que ha actuado el agente. |
Para ver las acciones agrupadas por categoría, también puede usar el calificador de acción como un par key:value. Para más información, consulta Búsqueda en función de la acción realizada.
Para obtener una lista completa de las acciones del registro de auditoría de la empresa, consulta Eventos de registro de auditoría de la empresa.
Buscar el registro de auditoría
Búsqueda basada en la operación
Use el calificador operation para limitar las acciones a tipos específicos de operaciones. Por ejemplo:
operation:accessbusca todos los eventos en los que se ha accedido a un recurso.operation:authenticationbusca todos los eventos en los que se ha realizado un evento de autenticación.operation:createbusca todos los eventos en los que se ha creado un recurso.operation:modifybusca todos los eventos en los que se ha modificado un recurso existente.operation:removebusca todos los eventos en los que se ha quitado un recurso existente.operation:restorebusca todos los eventos en los que se ha restaurado un recurso existente.operation:transferbusca todos los eventos en los que se ha transferido un recurso existente.
Búsqueda basada en el repositorio
Use el calificador repo para limitar las acciones a un repositorio específico. Por ejemplo:
repo:"my-org/our-repo"busca todos los eventos que se han producido para el repositorioour-repode la organizaciónmy-org.repo:"my-org/our-repo" repo:"my-org/another-repo"busca todos los eventos que se han producido para los repositoriosour-repoyanother-repode la organizaciónmy-org.-repo:"my-org/not-this-repo"excluye todos los eventos que se han producido para el repositorionot-this-repode la organizaciónmy-org.
Tenga en cuenta que debe incluir el nombre de la cuenta dentro del calificador repo y colocarlo entre comillas o escapar / con \; simplemente buscar repo:our-repo o repo:my-org/our-repo no funcionará.
Búsqueda basada en el actor
El actor calificador puede definir el ámbito de los eventos en función de la persona o agente que realizó la acción. Por ejemplo:
-
`actor:octocat` busca todos los eventos realizados por `octocat`. -
`actor:octocat actor:Copilot` busca todos los eventos realizados por `octocat` o `Copilot`. -
`-actor:Copilot` excluye todos los eventos realizados por `Copilot`.
Ten en cuenta que solo puedes utilizar un nombre de usuario GitHub, no el nombre real de una persona.
Búsqueda basada en la acción realizada
Para buscar eventos específicos, use el calificador action en la consulta. Por ejemplo:
-
`action:team` busca todos los eventos agrupados dentro de la categoría de equipo. -
`-action:hook` excluye todos los eventos de la categoría de webhook.
Cada categoría tiene un conjunto de acciones asociadas que puede filtrar. Por ejemplo:
-
`action:team.create` busca todos los eventos en los que se ha creado un equipo. -
`-action:hook.events_changed` excluye todos los eventos en los que se han modificado los eventos de un webhook.
Las acciones que se pueden encontrar en el registro de auditoría de la empresa se agrupan en las categorías siguientes:
| Nombre de la categoría | Descripción |
|---|---|
artifact | Contiene las actividades relacionadas con los artefactos de ejecución de flujo de trabajo de GitHub Actions. |
audit_log_streaming | Contiene las actividades relacionadas con la transmisión de registros de auditoría para las organizaciones de una cuenta empresarial. |
business | Contiene actividades relacionadas con los ajustes de negocios para una empresa. |
business_advanced_security | Contiene actividades relacionadas con Advanced Security en una empresa. |
business_secret_scanning | Contiene actividades relacionadas con secret scanning en una empresa. |
business_secret_scanning_automatic_validity_checks | Contiene actividades relacionadas con la habilitación o la deshabilitación de las comprobaciones de validez automática para secret scanning en una empresa. |
business_secret_scanning_custom_pattern | Contiene actividades relacionadas con patrones personalizados de secret scanning en una empresa. |
business_secret_scanning_custom_pattern_push_protection | Contiene actividades relacionadas con la protección de inserción de un patrón personalizado para secret scanning en una empresa. Para más información, consulta Definición de patrones personalizados para el examen de secretos. |
business_secret_scanning_push_protection | Contiene actividades relacionadas con la función de protección de la inserción de secret scanning en una empresa. |
business_secret_scanning_push_protection_custom_message | Contiene actividades relacionadas con el mensaje personalizado que se muestra cuando se desencadena la protección de inserción en una empresa. |
checks | Contiene las actividades relacionadas con la comprobación de conjuntos de pruebas y ejecuciones. |
commit_comment | Contiene las actividades relacionadas con la actualización o eliminación de comentarios de confirmación. |
config_entry | Contiene actividades relacionadas con las opciones de configuración. Estos eventos solo son visibles en el registro de auditoría del administrador del sitio. |
dependabot_alerts | Contiene actividades de configuración a nivel de organización para Dependabot alerts en los repositorios existentes. Para más información, consulta Acerca de las alertas Dependabot. |
dependabot_alerts_new_repos | Contiene las actividades de configuración a nivel de organización para las Dependabot alerts en los repositorios nuevos que se crearon en la organización. |
dependabot_repository_access | Contiene las actividades relacionadas con los repositorios privados de una organización para los que Dependabot tiene permiso de acceso. |
dependabot_security_updates | Contiene actividades de configuración a nivel de organización para Dependabot security updates en los repositorios existentes. Para más información, consulta Configuración de actualizaciones de seguridad de Dependabot. |
dependabot_security_updates_new_repos | Contiene las actividades de configuración a nivel de organización para Dependabot security updates para los repositorios nuevos que se crean en ella. |
dependency_graph | Contiene las actividades de configuración a nivel de organización para los gráficos de dependencias de los repositorios. Para más información, consulta Sobre el gráfico de dependencias. |
dependency_graph_new_repos | Contiene las actividades de configuración a nivel de organización para los repositorios nuevos que se crean en ella. |
dotcom_connection | Contiene actividades relacionadas con GitHub Connect. |
enterprise | Contiene las actividades relacionadas con la configuración de la empresa. |
hook | Contiene actividades relacionadas con los webhooks. |
integration | Contiene las actividades relacionadas con las integraciones de una cuenta. |
integration_installation | Contiene las actividades relacionadas con las integraciones instaladas en una cuenta. |
integration_installation_request | Contiene las actividades relacionadas con las solicitudes de los miembros de una organización para que los propietarios aprueben integraciones para su uso en la organización. |
issue | Contiene las actividades relacionadas con el anclaje, transferencia o eliminación de una propuesta en un repositorio. |
issue_comment | Contiene las actividades relacionadas con el anclaje, transferencia o eliminación de comentarios de propuestas. |
issues | Contiene las actividades relacionadas con la habilitación o deshabilitación de la creación de propuestas para una organización. |
members_can_create_pages | Contiene actividades relacionadas con la administración de la publicación de sitios de GitHub Pages para repositorios de la organización. Para más información, consulta Administración de la publicación de sitios de GitHub Pages para su organización. |
members_can_create_private_pages | Contiene las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages privados para repositorios de la organización. |
members_can_create_public_pages | Contiene las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages públicos para repositorios de la organización. |
members_can_delete_repos | Contiene las actividades relacionadas con la habilitación o deshabilitación de la creación de repositorios para una organización. |
oauth_access | Contiene actividades relacionadas con los tokens de acceso de OAuth. |
oauth_application | Contiene actividades relacionadas con las OAuth apps. |
org | Contiene las actividades relacionadas con la pertenencia a la organización. |
org_credential_authorization | Contiene actividades relacionadas con la autorización de credenciales para su uso con el inicio de sesión único de SAML. |
org_secret_scanning_automatic_validity_checks | Contiene actividades relacionadas con la habilitación y la deshabilitación de las comprobaciones de validez automática para secret scanning en una organización. Para más información, consulta Administrar la configuración de seguridad y análisis de su organización. |
org_secret_scanning_custom_pattern | Contiene actividades relacionadas con patrones personalizados de secret scanning en una organización. Para más información, consulta Definición de patrones personalizados para el examen de secretos. |
organization_default_label | Contiene las actividades relacionadas con las etiquetas predeterminadas para los repositorios de una organización. |
organization_domain | Contiene las actividades relacionadas con los dominios verificados de una organización. |
organization_projects_change | Contiene las actividades relacionadas con los projects y Proyectos (clásico) de toda la organización de una empresa. |
pre_receive_environment | Contiene actividades relacionadas con los entornos de enlaces previos a la recepción. |
pre_receive_hook | Contiene las actividades relacionadas con los enlaces previos a la recepción. |
private_instance_encryption | Contiene las actividades relacionadas con la habilitación del modo privado para una empresa. |
private_repository_forking | Contiene las actividades relacionadas con la habilitación de bifurcaciones de repositorios privados e internos para un repositorio, organización o empresa. |
project | Contiene las actividades relacionadas con los proyectos. |
project_field | Contiene las actividades relacionadas con la creación y eliminación de campos en un proyecto. |
project_view | Contiene las actividades relacionadas con la creación y eliminación de vistas en un proyecto. |
protected_branch | Contiene las actividades relacionadas con las ramas protegidas. |
public_key | Contiene las actividades relacionadas con las claves SSH y las claves de implementación. |
pull_request | Contiene las actividades relacionadas con las solicitudes de incorporación de cambios. |
pull_request_review | Contiene las actividades relacionadas con las revisiones de solicitudes de incorporación de cambios. |
pull_request_review_comment | Contiene las actividades relacionadas con los comentarios de revisión de las solicitudes de incorporación de cambios. |
repo | Contiene las actividades relacionadas con los repositorios que pertenecen a una organización. |
repository_image | Contiene actividades relacionadas con imágenes de un repositorio. |
repository_invitation | Contiene actividades relacionadas con invitaciones para unirse a un repositorio. |
repository_projects_change | Contiene las actividades relacionadas con la habilitación de proyectos para un repositorio o para todos los repositorios de una organización. |
repository_secret_scanning | Contiene las actividades de nivel de repositorio relacionadas con secret scanning. Para más información, consulta Acerca del examen de secretos. |
repository_secret_scanning_automatic_validity_checks | Contiene actividades relacionadas con la habilitación o deshabilitación de comprobaciones automáticas de validez de secret scanning en un repositorio. Para más información, consulta Activar el escaneo de secretos para tu repositorio. |
repository_secret_scanning_custom_pattern | Contiene las actividades relacionadas con patrones personalizados de secret scanning en un repositorio. Para más información, consulta Definición de patrones personalizados para el examen de secretos. |
repository_secret_scanning_custom_pattern_push_protection | Contiene actividades relacionadas con la protección de inserción de un patrón personalizado para secret scanning en un repositorio. Para más información, consulta Definición de patrones personalizados para el examen de secretos. |
repository_secret_scanning_push_protection | Contiene las actividades relacionadas con la función de protección de inserción de secret scanning en un repositorio. Para más información, consulta Acerca de la protección de inserción. |
repository_vulnerability_alert | Contiene actividades relacionadas con Dependabot alerts. |
restrict_notification_delivery | Contiene las actividades relacionadas con la restricción de las notificaciones de correo electrónico en los dominios aprobados o comprobados de una empresa. |
role | Contiene actividades relacionadas con los roles de repositorio personalizados. |
secret_scanning | Contiene actividades de configuración a nivel de organización para secret scanning en los repositorios existentes. Para más información, consulta Acerca del examen de secretos. |
secret_scanning_new_repos | Contiene las actividades de configuración a nivel de organización para secret scanning para los repositorios nuevos que se crearon en la organización. |
security_key | Contiene las actividades relacionadas con el registro y la eliminación de claves de seguridad. |
ssh_certificate_authority | Contiene las actividades relacionadas con una autoridad de certificación SSH en una organización o empresa. |
ssh_certificate_requirement | Contiene las actividades relacionadas con la necesidad de que los miembros usen certificados SSH para acceder a los recursos de la organización. |
staff | Contiene las actividades relacionadas con la realización de una acción por parte de un administrador de sitio. |
team | Contiene las actividades relacionadas con los equipos de una organización. |
two_factor_authentication | Contiene actividades relacionadas con la autenticación en dos fases. |
user | Contiene las actividades relacionadas con los usuarios de una empresa u organización. |
user_license | Contiene actividades relacionadas con el hecho de que un usuario ocupe una un puesto con licencia en una empresa y sea miembro de ella. |
workflows | Contiene actividades relacionadas con los flujos de trabajo de las GitHub Actions. |
Búsqueda basada en el momento de la acción
Use el calificador created para filtrar los eventos del registro de auditoría en función de cuándo se hayan producido.
El formato de fecha debe seguir el estándar ISO8601, que es YYYY-MM-DD (año-mes-día). También puede agregar información de tiempo opcional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Esto es, T, seguido de HH:MM:SS (hora-minutos-segundos) y una diferencia horaria con UTC (+00:00).
Cuando buscas una fecha, puedes utilizar los calificadores de mayor qué, menor qué y rango para filtrar aún más los resultados. Para más información, consulta Entender la sintaxis de búsqueda.
Por ejemplo:
-
`created:2014-07-08` busca todos los eventos que se han producido el 8 de julio de 2014. -
`created:>=2014-07-08` busca todos los eventos que se han producido el 8 de julio de 2014 o después. -
`created:<=2014-07-08` busca todos los eventos que se han producido el 8 de julio de 2014 o antes. -
`created:2014-07-01..2014-07-31` busca todos los eventos que se han producido durante el mes de julio de 2014.
Búsqueda basada en la ubicación
Con el calificador country, puede filtrar los eventos del registro de auditoría en función del país de origen. Puede usar un código corto de dos letras del país o el nombre completo. Los países con espacios en el nombre se tendrán que incluir entre comillas. Por ejemplo:
-
`country:de` busca todos los eventos que se han producido en Alemania. -
`country:Mexico` busca todos los eventos que se han producido en México. -
`country:"United States"` busca todos los eventos que se han producido en Estados Unidos.
Búsqueda basada en el token que realizó la acción
Usa el calificador hashed_token para buscar en función del token que realizó la acción. Para poder buscar un token, debes generar un hash SHA-256. Para más información, consulta Identificación de eventos de registro de auditoría realizados por un token de acceso.