Acceder al registro de auditoría
Nota:
Los webhooks pueden ser una buena alternativa al registro de auditoría o al sondeo de API para determinados casos de uso. Los webhooks son una manera de que GitHub notifique al servidor cuándo se producen eventos específicos para un repositorio, una organización o una empresa. En comparación con la API o la búsqueda en el registro de auditoría, los webhooks pueden ser más eficaces si solo deseas descubrir (y, posiblemente, registrar) cuándo se producen determinados eventos en tu empresa, organización o repositorio. Consulta Documentación de webhooks.
El registro de auditoría enumera eventos activados por las actividades que afectan a tu organización dentro de los últimos 180 días. Solo los propietarios pueden acceder al registro de auditoría de una organización.
- En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.
- Junto a la organización, haga clic en Settings.
- En la sección "Archive" de la barra lateral, haz clic en Logs y después en Audit log.
Buscar el registro de auditoría
El nombre de cada entrada del registro de auditoría se compone de una categoría de eventos, seguida de un tipo de operación. Por ejemplo, la entrada repo.create hace referencia a la operación create de la categoría repo.
Cada entrada del registro de auditoría muestra información vigente acerca de un evento, como:
- La empresa o la organización en la que se ha realizado una acción
- El usuario (actor) que ha realizado la acción
- El usuario afectado por la acción
- En qué repositorio se realizó una acción
- La acción que se realizó
- En qué país se realizó la acción
- Fecha y hora a la que se ha producido la acción
- La identidad de SAML SSO y SCIM del usuario (actor) que realizó la acción
- Para acciones fuera de la interfaz de usuario web, cómo el usuario (actor) autentica
Nota que no puedes buscar entradas utilizando texto. Sin embargo, puedes construir consultas de búsqueda utilizando una variedad de filtros. Muchos operadores que se utilizan cuando se consulta el registro, tales como -, > o <, coinciden con el mismo formato de búsqueda en GitHub. Para más información, consulta Acerca de la búsqueda en GitHub.
Búsqueda basada en la operación
Use el calificador operation para limitar las acciones a tipos específicos de operaciones. Por ejemplo:
operation:accessbusca todos los eventos en los que se ha accedido a un recurso.operation:authenticationbusca todos los eventos en los que se ha realizado un evento de autenticación.operation:createbusca todos los eventos en los que se ha creado un recurso.operation:modifybusca todos los eventos en los que se ha modificado un recurso existente.operation:removebusca todos los eventos en los que se ha quitado un recurso existente.operation:restorebusca todos los eventos en los que se ha restaurado un recurso existente.operation:transferbusca todos los eventos en los que se ha transferido un recurso existente.
Búsqueda basada en el repositorio
Use el calificador repo para limitar las acciones a un repositorio específico. Por ejemplo:
repo:"my-org/our-repo"busca todos los eventos que se han producido para el repositorioour-repode la organizaciónmy-org.repo:"my-org/our-repo" repo:"my-org/another-repo"busca todos los eventos que se han producido para los repositoriosour-repoyanother-repode la organizaciónmy-org.-repo:"my-org/not-this-repo"excluye todos los eventos que se han producido para el repositorionot-this-repode la organizaciónmy-org.
Tenga en cuenta que debe incluir el nombre de la cuenta dentro del calificador repo y colocarlo entre comillas o escapar / con \; simplemente buscar repo:our-repo o repo:my-org/our-repo no funcionará.
Búsqueda basada en el actor
El actor calificador puede definir el ámbito de los eventos en función de la persona o agente que realizó la acción. Por ejemplo:
-
`actor:octocat` busca todos los eventos realizados por `octocat`. -
`actor:octocat actor:Copilot` busca todos los eventos realizados por `octocat` o `Copilot`. -
`-actor:Copilot` excluye todos los eventos realizados por `Copilot`.
Ten en cuenta que solo puedes utilizar un nombre de usuario GitHub, no el nombre real de una persona.
Búsqueda basada en la acción realizada
Para buscar eventos específicos, usa el calificador action en la consulta. Las acciones enumeradas en el registro de auditoría se agrupan en diferentes categorías. Para obtener la lista completa de eventos de cada categoría, consulta Eventos de registro de auditoría para tu organización.
| Nombre de la categoría | Descripción |
|---|---|
auto_approve_personal_access_token_requests | Contiene actividades relacionadas con la directiva de aprobación de la organización para fine-grained personal access tokens. Para más información, consulta Establecimiento de una directiva de token de acceso personal en la organización. |
code-scanning | Contiene todas las actividades relacionadas con las alertas de escaneo de código de tu organización. |
dependabot_alerts | Contiene actividades de configuración a nivel de organización para Dependabot alerts en los repositorios existentes. Para más información, consulta Acerca de las alertas Dependabot. |
dependabot_alerts_new_repos | Contiene las actividades de configuración a nivel de organización para las Dependabot alerts en los repositorios nuevos que se crearon en la organización. |
dependabot_security_updates | Contiene actividades de configuración a nivel de organización para Dependabot security updates en los repositorios existentes. Para más información, consulta Configuración de actualizaciones de seguridad de Dependabot. |
dependabot_security_updates_new_repos | Contiene las actividades de configuración a nivel de organización para Dependabot security updates para los repositorios nuevos que se crean en ella. |
discussion_post | Contiene todas las actividades relacionadas con los debates publicados en una página de equipo. |
discussion_post_reply | Contiene todas las actividades relacionadas con las respuestas a los debates publicados en una página de equipo. |
enterprise | Contiene actividades relacionadas con los entornos empresariales. |
hook | Contiene todas las actividades relacionadas con los webhooks. |
integration_installation | Contiene las actividades relacionadas con las integraciones instaladas en una cuenta. |
integration_installation_request | Contiene todas las actividades relacionadas con las solicitudes de los miembros de la organización para que los propietarios aprueben las integraciones para su uso en la organización. |
issue | Contiene actividades relacionadas con la eliminación de un problema. |
members_can_create_pages | Contiene todas las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages para repositorios de la organización. Para más información, consulta Administración de la publicación de sitios de GitHub Pages para su organización. |
org | Contiene las actividades relacionadas con la pertenencia a la organización. |
org_secret_scanning_automatic_validity_checks | Contiene actividades de nivel de organización relacionadas con la habilitación y la deshabilitación de las comprobaciones de validez automática para secret scanning. Para más información, consulta Administrar la configuración de seguridad y análisis de su organización. |
org_secret_scanning_custom_pattern | Contiene actividades de nivel de organización relacionadas con patrones personalizados de secret scanning. Para más información, consulta Definición de patrones personalizados para el examen de secretos. |
organization_default_label | Contiene todas las actividades relacionadas con las etiquetas predeterminadas para los repositorios de su organización. |
oauth_application | Contiene todas las actividades relacionadas con OAuth apps. |
packages | Contiene todas las actividades relacionadas con GitHub Packages. |
personal_access_token | Contiene actividades relacionadas con fine-grained personal access tokens en su organización. Para más información, consulta Administración de tokens de acceso personal. |
profile_picture | Contiene todas las actividades relacionadas con la imagen de perfil de su organización. |
project | Contiene todas las actividades relacionadas con projects. |
protected_branch | Contiene todas las actividades relacionadas con las ramas protegidas. |
repo | Contiene todas las actividades relacionadas con los repositorios que pertenecen a su organización. |
repository_secret_scanning | Contiene las actividades de nivel de repositorio relacionadas con secret scanning. Para más información, consulta Acerca del examen de secretos. |
repository_secret_scanning_automatic_validity_checks | Contiene actividades de nivel de repositorio relacionadas con la habilitación o deshabilitación de comprobaciones automáticas de validez de secret scanning. Para más información, consulta Activar el escaneo de secretos para tu repositorio. |
repository_secret_scanning_custom_pattern | Contiene actividades a nivel de repositorio relacionadas con patrones personalizados de secret scanning. Para más información, consulta Definición de patrones personalizados para el examen de secretos. |
repository_secret_scanning_custom_pattern_push_protection | Contiene actividades de nivel de repositorio relacionadas con la protección de inserción de un patrón personalizado para secret scanning. Para más información, consulta Definición de patrones personalizados para el examen de secretos. |
repository_secret_scanning_push_protection | Contiene las actividades de nivel de repositorio relacionadas con la protección de inserción de secret scanning. Para más información, consulta Acerca de la protección de inserción. |
repository_vulnerability_alert | Contiene las actividades relacionadas con Dependabot alerts. |
role | Contiene todas las actividades relacionadas con los roles de repositorio personalizados. |
secret_scanning | Contiene actividades de configuración a nivel de organización para secret scanning en los repositorios existentes. Para más información, consulta Acerca del examen de secretos. |
secret_scanning_new_repos | Contiene las actividades de configuración a nivel de organización para secret scanning para los repositorios nuevos que se crearon en la organización. |
team | Contiene todas las actividades relacionadas con los equipos en tu organización. |
workflows | Contiene actividades relacionadas con los flujos de trabajo de las GitHub Actions. |
Puede buscar conjuntos específicos de acciones utilizando estos términos. Por ejemplo:
-
`action:team` busca todos los eventos agrupados dentro de la categoría de equipo. -
`-action:hook` excluye todos los eventos de la categoría de webhook.
Cada categoría tiene un conjunto de acciones asociadas que puede filtrar. Por ejemplo:
-
`action:team.create` busca todos los eventos en los que se ha creado un equipo. -
`-action:hook.events_changed` excluye todos los eventos en los que se han modificado los eventos de un webhook.
Búsqueda basada en el momento de la acción
Use el calificador created para filtrar los eventos del registro de auditoría en función de cuándo se hayan producido. El formato de fecha debe seguir el estándar ISO8601, que es YYYY-MM-DD (año-mes-día). También puede agregar información de tiempo opcional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Esto es, T, seguido de HH:MM:SS (hora-minutos-segundos) y una diferencia horaria con UTC (+00:00).
Cuando buscas una fecha, puedes utilizar los calificadores de mayor qué, menor qué y rango para filtrar aún más los resultados. Para más información, consulta Entender la sintaxis de búsqueda.
Por ejemplo:
-
`created:2014-07-08` busca todos los eventos que se han producido el 8 de julio de 2014. -
`created:>=2014-07-08` busca todos los eventos que se han producido el 8 de julio de 2014 o después. -
`created:<=2014-07-08` busca todos los eventos que se han producido el 8 de julio de 2014 o antes. -
`created:2014-07-01..2014-07-31` busca todos los eventos que se han producido durante el mes de julio de 2014.
Nota:
El registro de auditoría contiene datos de los últimos 180 días.
Búsqueda basada en la ubicación
Con el calificador country, puede filtrar los eventos del registro de auditoría en función del país de origen. Puede utilizar un código corto de dos letras del país o el nombre completo. Ten presente que los países con espacios en sus nombres se deben poner entre comillas. Por ejemplo:
-
`country:de` busca todos los eventos que se han producido en Alemania. -
`country:Mexico` busca todos los eventos que se han producido en México. -
`country:"United States"` busca todos los eventos que se han producido en Estados Unidos.
Utilizar la API de registros de auditoría
Puedes interactuar con el registro de auditoría mediante la API de GraphQL . Puedes usar el ámbito read:audit_log para acceder al registro de auditoría a través de la API.
Para garantizar la protección de la propiedad intelectual y que cumpla con las normativas de su organización, puede usar la API de GraphQL del registro de auditoría para conservar copias de los datos del registro de auditoría y supervisar: * Acceso a la configuración de la organización o el repositorio
- Cambios en los permisos
- Usuarios agregados o quitados de una organización, un repositorio o un equipo
- Usuarios ascendidos a administradores
- Cambios a los permisos de GitHub App
La respuesta de GraphQL puede incluir datos de hasta 90 a 120 días.
Por ejemplo, puede hacer una solicitud de GraphQL para ver todos los miembros nuevos de la organización agregados a su organización. Para obtener más información, consulta el Interfaces.
Información adicional
-
[AUTOTITLE](/organizations/keeping-your-organization-secure)