Acceder al registro de auditoría
Nota:
Los webhooks pueden ser una buena alternativa al registro de auditoría o al sondeo de API para determinados casos de uso. Los webhooks son una manera de que GitHub notifique al servidor cuándo se producen eventos específicos para un repositorio, una organización o una empresa. En comparación con la API o la búsqueda en el registro de auditoría, los webhooks pueden ser más eficaces si solo deseas descubrir (y, posiblemente, registrar) cuándo se producen determinados eventos en tu empresa, organización o repositorio. Consulta Documentación de webhooks.
El registro de auditoría enumera eventos activados por las actividades que afectan a tu organización dentro de los últimos 180 días. Solo los propietarios pueden acceder al registro de auditoría de una organización.
- En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.
- Junto a la organización, haga clic en Settings.
- En la sección "Archive" de la barra lateral, haz clic en Logs y después en Audit log.
Buscar el registro de auditoría
El nombre de cada entrada del registro de auditoría se compone de una categoría de eventos, seguida de un tipo de operación. Por ejemplo, la entrada repo.create hace referencia a la operación create de la categoría repo.
Cada entrada del registro de auditoría muestra información vigente acerca de un evento, como:
- La empresa o la organización en la que se ha realizado una acción
- El usuario (actor) que ha realizado la acción
- El usuario afectado por la acción
- En qué repositorio se realizó una acción
- La acción que se realizó
- En qué país se realizó la acción
- Fecha y hora a la que se ha producido la acción
- La identidad de SAML SSO y SCIM del usuario (actor) que realizó la acción
- Para acciones fuera de la interfaz de usuario web, cómo el usuario (actor) autentica
- Opcionalmente, la dirección IP de origen del usuario (actor) que realizó la acción
Nota que no puedes buscar entradas utilizando texto. Sin embargo, puedes construir consultas de búsqueda utilizando una variedad de filtros. Muchos operadores que se utilizan cuando se consulta el registro, tales como -, > o <, coinciden con el mismo formato de búsqueda en GitHub. Para más información, consulta Acerca de la búsqueda en GitHub.
Búsqueda basada en la operación
Use el calificador operation para limitar las acciones a tipos específicos de operaciones. Por ejemplo:
operation:accessbusca todos los eventos en los que se ha accedido a un recurso.operation:authenticationbusca todos los eventos en los que se ha realizado un evento de autenticación.operation:createbusca todos los eventos en los que se ha creado un recurso.operation:modifybusca todos los eventos en los que se ha modificado un recurso existente.operation:removebusca todos los eventos en los que se ha quitado un recurso existente.operation:restorebusca todos los eventos en los que se ha restaurado un recurso existente.operation:transferbusca todos los eventos en los que se ha transferido un recurso existente.
Búsqueda basada en el repositorio
Use el calificador repo para limitar las acciones a un repositorio específico. Por ejemplo:
repo:my-org/our-repobusca todos los eventos que se han producido para el repositorioour-repode la organizaciónmy-org.repo:my-org/our-repo repo:my-org/another-repobusca todos los eventos que se han producido para los repositoriosour-repoyanother-repode la organizaciónmy-org.-repo:my-org/not-this-repoexcluye todos los eventos que se han producido para el repositorionot-this-repode la organizaciónmy-org.
Tenga en cuenta que debe incluir el nombre de cuenta en el calificador repo; buscar solo repo:our-repo no funcionará.
Búsqueda basada en el actor
El actor calificador puede definir el ámbito de los eventos en función de la persona o agente que realizó la acción. Por ejemplo:
-
`actor:octocat` busca todos los eventos realizados por `octocat`. -
`actor:octocat actor:Copilot` busca todos los eventos realizados por `octocat` o `Copilot`. -
`-actor:Copilot` excluye todos los eventos realizados por `Copilot`.
Ten en cuenta que solo puedes utilizar un nombre de usuario GitHub, no el nombre real de una persona.
Búsqueda basada en la acción realizada
Para buscar eventos específicos, usa el calificador action en la consulta. Las acciones enumeradas en el registro de auditoría se agrupan en diferentes categorías. Para obtener la lista completa de eventos de cada categoría, consulta Eventos de registro de auditoría para tu organización.
| Nombre de la categoría | Descripción |
|---|---|
account | Contiene todas las actividades relacionadas con su cuenta de organización. |
advisory_credit | Contiene todas las actividades relacionadas con darle crédito a un contribuyente por una asesoría de seguridad en la GitHub Advisory Database. Para más información, consulta Acerca de las asesorías de seguridad de repositorio. |
auto_approve_personal_access_token_requests | Contiene actividades relacionadas con la directiva de aprobación de la organización para fine-grained personal access tokens. Para más información, consulta Establecimiento de una directiva de token de acceso personal en la organización. |
billing | Contiene todas las actividades relacionadas con la facturación de su organización. |
business | Contiene actividades relacionadas con los entornos empresariales para una empresa. |
code-scanning | Contiene todas las actividades relacionadas con las alertas de escaneo de código de tu organización. |
codespaces | Contiene todas las actividades relacionadas con los codespaces de su organización. |
copilot | Contiene todas las actividades relacionadas con la suscripción de GitHub Copilot para empresas o GitHub Copilot para grandes empresas. |
dependabot_alerts | Contiene actividades de configuración a nivel de organización para Dependabot alerts en los repositorios existentes. Para más información, consulta Acerca de las alertas Dependabot. |
dependabot_alerts_new_repos | Contiene las actividades de configuración a nivel de organización para las Dependabot alerts en los repositorios nuevos que se crearon en la organización. |
dependabot_security_updates | Contiene actividades de configuración a nivel de organización para Dependabot security updates en los repositorios existentes. Para más información, consulta Configuración de actualizaciones de seguridad de Dependabot. |
dependabot_security_updates_new_repos | Contiene las actividades de configuración a nivel de organización para Dependabot security updates para los repositorios nuevos que se crean en ella. |
dependency_graph | Contiene las actividades de configuración a nivel de organización para los gráficos de dependencias de los repositorios. Para más información, consulta Sobre el gráfico de dependencias. |
dependency_graph_new_repos | Contiene las actividades de configuración a nivel de organización para los repositorios nuevos que se crean en ella. |
discussion_post | Contiene todas las actividades relacionadas con los debates publicados en una página de equipo. |
discussion_post_reply | Contiene todas las actividades relacionadas con las respuestas a los debates publicados en una página de equipo. |
enterprise | Contiene actividades relacionadas con los entornos empresariales. |
hook | Contiene todas las actividades relacionadas con los webhooks. |
integration_installation | Contiene las actividades relacionadas con las integraciones instaladas en una cuenta. |
integration_installation_request | Contiene todas las actividades relacionadas con las solicitudes de los miembros de la organización para que los propietarios aprueben las integraciones para su uso en la organización. |
ip_allow_list | Contiene las actividades relacionadas con la habilitación o deshabilitación de la lista de direcciones IP permitidas de una organización. |
ip_allow_list_entry | Contiene las actividades relacionadas con la creación, eliminación y edición de una entrada en una lista de direcciones IP permitidas de una organización. |
issue | Contiene actividades relacionadas con la eliminación de un problema. |
marketplace_agreement_signature | Contiene todas las actividades relacionadas con la firma del Acuerdo del desarrollador de GitHub Marketplace. |
marketplace_listing | Contiene las actividades relacionadas con la publicación de aplicaciones en GitHub Marketplace. |
members_can_create_pages | Contiene todas las actividades relacionadas con la administración de la publicación de sitios de GitHub Pages para repositorios de la organización. Para más información, consulta Administración de la publicación de sitios de GitHub Pages para su organización. |
org | Contiene las actividades relacionadas con la pertenencia a la organización. |
org_credential_authorization | Contiene las actividades relacionadas con la autorización de credenciales para su uso con el inicio de sesión único de SAML. |
org_secret_scanning_automatic_validity_checks | Contiene actividades de nivel de organización relacionadas con la habilitación y la deshabilitación de las comprobaciones de validez automática para secret scanning. Para más información, consulta Administrar la configuración de seguridad y análisis de su organización. |
org_secret_scanning_custom_pattern | Contiene actividades de nivel de organización relacionadas con patrones personalizados de secret scanning. Para más información, consulta Definición de patrones personalizados para el examen de secretos. |
organization_default_label | Contiene todas las actividades relacionadas con las etiquetas predeterminadas para los repositorios de su organización. |
oauth_application | Contiene todas las actividades relacionadas con OAuth apps. |
packages | Contiene todas las actividades relacionadas con GitHub Packages. |
payment_method | Contiene todas las actividades relacionadas con cómo paga su organización por GitHub. |
personal_access_token | Contiene actividades relacionadas con fine-grained personal access tokens en su organización. Para más información, consulta Administración de tokens de acceso personal. |
profile_picture | Contiene todas las actividades relacionadas con la imagen de perfil de su organización. |
project | Contiene todas las actividades relacionadas con projects. |
protected_branch | Contiene todas las actividades relacionadas con las ramas protegidas. |
repo | Contiene todas las actividades relacionadas con los repositorios que pertenecen a su organización. |
repository_advisory | Contiene actividades al nivel de repositorio relacionadas con las advertencias de seguridad en la GitHub Advisory Database. Para más información, consulta Acerca de las asesorías de seguridad de repositorio. |
repository_content_analysis | Contiene todas las actividades relacionadas con la habilitación o deshabilitación del uso de datos para un repositorio privado. Para más información, consulta Administración de la configuración de seguridad y análisis para el repositorio. |
repository_dependency_graph | Contiene las actividades a nivel de repositorio para habilitar o inhabilitar la gráfica de dependencias para un repositorio privado. Para más información, consulta Sobre el gráfico de dependencias. |
repository_secret_scanning | Contiene las actividades de nivel de repositorio relacionadas con secret scanning. Para más información, consulta Acerca del examen de secretos. |
repository_secret_scanning_automatic_validity_checks | Contiene actividades de nivel de repositorio relacionadas con la habilitación o deshabilitación de comprobaciones automáticas de validez de secret scanning. Para más información, consulta Activar el escaneo de secretos para tu repositorio. |
repository_secret_scanning_custom_pattern | Contiene actividades a nivel de repositorio relacionadas con patrones personalizados de secret scanning. Para más información, consulta Definición de patrones personalizados para el examen de secretos. |
repository_secret_scanning_custom_pattern_push_protection | Contiene actividades de nivel de repositorio relacionadas con la protección de inserción de un patrón personalizado para secret scanning. Para más información, consulta Definición de patrones personalizados para el examen de secretos. |
repository_secret_scanning_push_protection | Contiene las actividades de nivel de repositorio relacionadas con la protección de inserción de secret scanning. Para más información, consulta Acerca de la protección de inserción. |
repository_vulnerability_alert | Contiene las actividades relacionadas con Dependabot alerts. |
repository_vulnerability_alerts | Contiene las actividades de configuración en el nivel de repositorio para Dependabot alerts. |
role | Contiene todas las actividades relacionadas con los roles de repositorio personalizados. |
secret_scanning | Contiene actividades de configuración a nivel de organización para secret scanning en los repositorios existentes. Para más información, consulta Acerca del examen de secretos. |
secret_scanning_new_repos | Contiene las actividades de configuración a nivel de organización para secret scanning para los repositorios nuevos que se crearon en la organización. |
restore_member | Se activa cuando el propietario de una organización restablece a un miembro. Para más información, consulta Restablecer a un miembro anterior de su organización. |
sponsors | Contiene todos los eventos relacionados con los botones de patrocinio (consulta Mostrando un botón de patrocinador en tu repositorio) |
team | Contiene todas las actividades relacionadas con los equipos en tu organización. |
workflows | Contiene actividades relacionadas con los flujos de trabajo de las GitHub Actions. |
Puede buscar conjuntos específicos de acciones utilizando estos términos. Por ejemplo:
-
`action:team` busca todos los eventos agrupados dentro de la categoría de equipo. -
`-action:hook` excluye todos los eventos de la categoría de webhook.
Cada categoría tiene un conjunto de acciones asociadas que puede filtrar. Por ejemplo:
-
`action:team.create` busca todos los eventos en los que se ha creado un equipo. -
`-action:hook.events_changed` excluye todos los eventos en los que se han modificado los eventos de un webhook.
Búsqueda basada en el momento de la acción
Use el calificador created para filtrar los eventos del registro de auditoría en función de cuándo se hayan producido. El formato de fecha debe seguir el estándar ISO8601, que es YYYY-MM-DD (año-mes-día). También puede agregar información de tiempo opcional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Esto es, T, seguido de HH:MM:SS (hora-minutos-segundos) y una diferencia horaria con UTC (+00:00).
Cuando buscas una fecha, puedes utilizar los calificadores de mayor qué, menor qué y rango para filtrar aún más los resultados. Para más información, consulta Entender la sintaxis de búsqueda.
Por ejemplo:
-
`created:2014-07-08` busca todos los eventos que se han producido el 8 de julio de 2014. -
`created:>=2014-07-08` busca todos los eventos que se han producido el 8 de julio de 2014 o después. -
`created:<=2014-07-08` busca todos los eventos que se han producido el 8 de julio de 2014 o antes. -
`created:2014-07-01..2014-07-31` busca todos los eventos que se han producido durante el mes de julio de 2014.
Nota:
El registro de auditoría contiene datos de los últimos 180 días.
Búsqueda basada en la ubicación
Con el calificador country, puede filtrar los eventos del registro de auditoría en función del país de origen. Puede utilizar un código corto de dos letras del país o el nombre completo. Ten presente que los países con espacios en sus nombres se deben poner entre comillas. Por ejemplo:
-
`country:de` busca todos los eventos que se han producido en Alemania. -
`country:Mexico` busca todos los eventos que se han producido en México. -
`country:"United States"` busca todos los eventos que se han producido en Estados Unidos.
Búsqueda basada en el token de acceso
Puede identificar todos los eventos que ha realizado un token de acceso específico. Para más información, consulta Identificación de eventos de registro de auditoría realizados por un token de acceso.
Exportar el registro de auditoría
Puedes exportar el registro como datos JSON o un archivo de valores separados por comas (CSV) con el menú desplegable Exportar.
Para filtrar los resultados de la exportación, busca por uno o más de estos calificadores admitidos antes de usar el menú desplegable Exportar.
| Calificador: | Valor de ejemplo |
|---|---|
action | team.create |
actor | octocat |
user | codertocat |
org | octo-org |
repo | octo-org/documentation |
created | 2019-06-01 |
Nota:
Al exportar eventos de Git, no se incluyen los eventos que se iniciaron a través del explorador web o las API de REST o GraphQL. Por ejemplo, cuando un usuario combina una solicitud de incorporación de cambios en el explorador web, los cambios se insertan en la rama base, pero el evento de Git de esa inserción no se incluye en la exportación.
Después de exportar el registro, verá los siguientes valores y claves en el archivo resultante.
| Clave | Valor de ejemplo |
|---|---|
action | team.create |
actor | octocat |
user | codertocat |
actor_location.country_code | US |
org | octo-org |
repo | octo-org/documentation |
created_at | 1429548104000 (Los registros horarios muestran la hora desde Epoch con milisegundos). |
data.email | octocat@nowhere.com |
data.hook_id | 245 |
data.events | ["issues", "issue_comment", "pull_request", "pull_request_review_comment"] |
data.events_were | ["push", "pull_request", "issues"] |
data.target_login | octocat |
data.old_user | hubot |
data.team | octo-org/engineering |
Utilizar la API de registros de auditoría
Puedes interactuar con el registro de auditoría mediante la API de GraphQL o la API de REST. Puedes usar el ámbito read:audit_log para acceder al registro de auditoría a través de la API.
Nota:
Para utilizar la API del registro de auditoría, la organización debe usar GitHub Enterprise Cloud. Para más información sobre cómo probar GitHub Enterprise Cloud de forma gratuita, consulta Configuración de una versión de prueba de GitHub Enterprise Cloud.
Utilizar la API de GraphQL
Para garantizar la protección de la propiedad intelectual y que cumpla con las normativas de su organización, puede usar la API de GraphQL del registro de auditoría para conservar copias de los datos del registro de auditoría y supervisar: * Acceso a la configuración de la organización o el repositorio
- Cambios en los permisos
- Usuarios agregados o quitados de una organización, un repositorio o un equipo
- Usuarios ascendidos a administradores
- Cambios a los permisos de GitHub App
- Solicitudes de API (deben estar habilitadas)
Tenga en cuenta que no puede recuperar los eventos de Git mediante GraphQL API. Para recuperar eventos de Git, utiliza mejor la API de REST. Para obtener más información, consulta Acciones de la categoría git.
La respuesta de GraphQL puede incluir datos de hasta 90 a 120 días.
Por ejemplo, puede hacer una solicitud de GraphQL para ver todos los miembros nuevos de la organización agregados a su organización. Para obtener más información, consulta el Interfaces.
Mediante la API de REST
Para garantizar la protección de la propiedad intelectual y que se mantiene el cumplimiento de la organización, puede usar la API de REST del registro de auditoría para el mantenimiento de copias de los datos del registro de auditoría. Para obtener más información sobre los eventos específicos a los que puedes acceder mediante API REST, consulta Eventos de registro de auditoría para tu organización.
La bitácora de auditoría retiene eventos de Git por siete días. Esto es más corto que otros eventos de registro de auditoría, que se pueden retener hasta siete meses.
De manera predeterminada, solo se devuelven los eventos de los últimos tres meses. Para incluir eventos anteriores, debes especificar una marca de tiempo en la consulta.
Al usar la API REST para solicitar eventos de Git, no se incluyen los eventos que se iniciaron a través del explorador web, la API REST o GraphQL API. Por ejemplo, cuando se combina una solicitud de incorporación de cambios en el explorador web, los cambios se insertan en la rama base, pero el evento de Git de esa inserción no se incluye en la respuesta.
Para obtener más información sobre la API REST del registro de auditoría, consulta Puntos de conexión de API REST para organizaciones.
Información adicional
-
[AUTOTITLE](/organizations/keeping-your-organization-secure) -
[AUTOTITLE](/organizations/managing-membership-in-your-organization/exporting-member-information-for-your-organization)