Enterprise Server 3.20 は、現在リリース候補として使用できます。

エンタープライズの監査ログの検索

Enterprise で監査されたアクションの広範なリストを検索できます。

この機能を使用できるユーザーについて

Enterprise owners and site administrators can search the audit log.

この記事で

エンタープライズの監査ログの検索について

          **[フィルター]** ドロップダウンを使用するか、検索クエリを入力して、ユーザー インターフェイスからエンタープライズの監査ログを直接検索できます。

エンタープライズの監査ログを表示する方法については、「企業の監査ログにアクセスする」を参照してください。

メモ

Git イベントは検索結果に含まれません。

API を使用して監査ログ イベントを取得することもできます。 詳しくは、「エンタープライズの監査ログ API を使う」をご覧ください。

テキストを使用してエントリを検索することはできません。 ただし、さまざまなフィルターを使用すれば検索クエリを作成できます。 ログのクエリ時に使用される多くの演算子 (->< など) は、GitHub 全体で検索するものと同じ形式です。 詳しくは、「GitHubでの検索について」をご覧ください。

メモ

監査ログには、Enterprise に影響するアクティビティによってトリガーされるイベントの一覧が表示されます。 GitHub の監査ログは、Enterprise 所有者が異なる保持期間を構成していない限り、無期限に保持されます。 「エンタープライズの監査ログの構成」をご覧ください。

既定では、過去 3 か月のイベントのみが表示されます。 古いイベントを表示するには、created パラメーターを使って日付範囲を指定します。 「検索構文を理解する」をご覧ください。

検索クエリ フィルター

Assert説明
Yesterday's activity過去 1 日に作成されたすべてのアクション。
Enterprise account management
          `business` カテゴリ内のすべてのアクション。 |

| Organization membership | 新しいユーザーが組織に参加するように招待されたときのすべてのアクション。 | | Team management | チーム管理に関連するすべてのアクション。
- ユーザー アカウントまたはリポジトリがチームに追加またはチームから削除されたとき
- チームの保守担当者が昇格または降格されたとき
- チームが削除された場合 | | Repository management | リポジトリ管理のすべてのアクション。
- リポジトリが作成または削除されたとき
- リポジトリの可視性が変更されたとき
- チームがリポジトリに追加または削除された場合 | | これらのステップを実行してください: | | Hook activity | Webhook と pre-receive フックのすべてのアクション。 | | Security management | SSH キー、デプロイ キー、セキュリティ キー、2FA、SAML シングル サインオン資格情報の承認、リポジトリの脆弱性アラートに関するすべてのアクション。 |

検索クエリ構文

1 つ以上の key:value ペアから検索クエリを作成できます。 たとえば、2017 年の初めからリポジトリ octocat/Spoon-Knife に影響を与えたすべてのアクションを確認するには、次のようにします。

repo:"octocat/Spoon-Knife" created:>=2017-01-01

検索クエリで使用できる key:value ペアは次のとおりです。

Key
action監査対象のアクションの名前。
actorアクションを開始したアカウントの名前。
actor_idアクションを開始したユーザー アカウントの ID。
actor_ipアクションを開始した IP アドレス。
businessアクションによって影響を受けた企業の名前 (該当する場合)。
business_idアクションによって影響を受けた企業 ID (該当する場合)。
createdアクションが発生した時刻。 サイト管理者ダッシュボードから監査ログのクエリを実行する場合は、代わりに created_at を使用します。
countryアクションの実行時に実行者がいた国の名前。
country_codeアクションの実行時に実行者がいた国の 2 文字のショート コード。
fromアクションの開始元のビュー。
hashed_tokenアクションの認証に使われるトークン (該当する場合は、「アクセス トークンによって実行される監査ログ イベントの識別」を参照)。
ip実行者の IP アドレス。
noteその他のイベント固有の情報 (プレーン テキストまたは JSON 形式)。
oauth_app_idアクションに関連付けられている OAuth app の ID。
operationアクションに対応する操作の種類。 操作の種類は、createaccessmodifyremoveauthenticationtransfer、および restore です。
orgアクションによって影響を受けた組織の名前 (該当する場合)。
org_idアクションによって影響を受けた組織の ID (該当する場合)。
repo_idアクションによって影響を受けたリポジトリの ID (該当する場合)。
repositoryアクションが発生したリポジトリの所有者の名前 ("octocat/octo-repo" など)。
これらのステップを実行してください:
user_idアクションによって影響を受けたユーザーの ID。
userアクションによって影響を受けたユーザーの名前。 アクションがエージェントによって実行された場合、このフィールドにはエージェントが操作したユーザーの名前が含まれます。

カテゴリ別にグループ化されたアクションを表示するには、アクション修飾子を key:value ペアとして使用することもできます。 詳細については、「実行されたアクションに基づく検索」を参照してください。

Enterprise 監査ログのアクションの完全な一覧については、「企業向け監査ログイベント」を参照してください。

Audit log を検索する

操作に基づく検索

operation 修飾子は、アクションを特定の操作の種類に限定するときに使ってください。 たとえば次のような点です。

  • operation:access は、リソースがアクセスされたすべてのイベントを検索します。
  • operation:authentication は、認証イベントが実行されたすべてのイベントを検索します。
  • operation:create は、リソースが作成されたすべてのイベントを検索します。
  • operation:modify は、既存のリソースが変更されたすべてのイベントを検索します。
  • operation:remove は、既存のリソースが削除されたすべてのイベントを検索します。
  • operation:restore は、既存のリソースが復元されたすべてのイベントを検索します。
  • operation:transfer は、既存のリソースが移動されたすべてのイベントを検索します。

監査ログ: リポジトリによる検索

アクターに基づく検索

          `actor`修飾子は、アクションを実行したユーザーまたはエージェントに基づいてイベントのスコープを設定できます。 たとえば次のような点です。

* actor:octocatoctocat によって実行されたすべてのイベントを検索します。 * actor:octocat actor:Copilot を使うと、octocat または Copilot によって実行されたすべてのイベントを検索できます。 * -actor:CopilotCopilot によって実行されたすべてのイベントを除外します。

使用できるのは GitHub のユーザー名のみであり、個人の実名ではないことに注意してください。

実行されたアクションに基づく検索

特定のイベントを検索するには、クエリで action 修飾子を使用します。 次に例を示します。

  •         `action:team` は、チーム カテゴリ内でグループ化されたすべてのイベントを検索します。

  •         `-action:hook` は、Webhook カテゴリのすべてのイベントを除外します。

各カテゴリには、フィルタできる一連の関連アクションがあります。 次に例を示します。

  •         `action:team.create` は、チームが作成されたすべてのイベントを検索します。

  •         `-action:hook.events_changed` は、Webhook 上のイベントが変更されたすべてのイベントを除外します。

エンタープライズの監査ログで検出できるアクションは、次のカテゴリにグループ化されます。

監査ログのアクションカテゴリ

アクション時間に基づく検索

          `created` 修飾子を使用して、発生した日時に基づいて監査ログ内のイベントをフィルター処理します。

日付の書式設定は、ISO8601 標準の YYYY-MM-DD (年-月-日) に従う必要があります。日付の後にオプションの時刻情報 THH:MM:SS+00:00 を追加して、時間、分、秒で検索することもできます。 これは、T の後に HH:MM:SS (時-分-秒)、UTC オフセット (+00:00) が続きます。

日付に対して検索を行う場合、結果をさらにフィルタリングするためにより大きい、より小さい、範囲の修飾子を利用できます。 詳しくは、「検索構文を理解する」をご覧ください。

次に例を示します。

  •         `created:2014-07-08` は、2014 年 7 月 8 日に発生したすべてのイベントを検索します。

  •         `created:>=2014-07-08` は、2014 年 7 月 8 日またはそれ以降に発生したすべてのイベントを検索します。

  •         `created:<=2014-07-08` は、2014 年 7 月 8 日またはそれより前に発生したすべてのイベントを検索します。

  •         `created:2014-07-01..2014-07-31` は、2014 年 7 月の月に発生したすべてのイベントを検索します。

場所に基づく検索

修飾子 country を使用すると、発信元の国に基づいて監査ログ内のイベントをフィルター処理できます。 国の 2 文字の短いコードまたはフル ネームを使用できます。 名前に空白がある国は引用符で囲む必要があります。 次に例を示します。

  •         `country:de` は、ドイツで発生したすべてのイベントを検索します。

  •         `country:Mexico` は、メキシコで発生したすべてのイベントを検索します。

  •         `country:"United States"`はアメリカ合衆国で発生したイベントをすべて検出します。

アクションを実行したトークンに基づいて検索する

          `hashed_token` 修飾子を使用して、アクションを実行したトークンに基づいて検索します。 トークンを検索する前に、SHA-256 ハッシュを生成する必要があります。 詳しくは、「[AUTOTITLE](/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/identifying-audit-log-events-performed-by-an-access-token)」をご覧ください。