엔터프라이즈 감사 로그에 대한 검색 정보
**필터** 드롭다운을 사용하거나 검색 쿼리를 입력하여 사용자 인터페이스에서 직접 엔터프라이즈 감사 로그를 검색할 수 있습니다.
엔터프라이즈 감사 로그를 보는 데 대한 자세한 내용은 엔터프라이즈의 감사 로그에 액세스을(를) 참조하세요.
참고 항목
Git 이벤트는 검색 결과에 포함되지 않습니다.
API를 사용하여 감사 로그 이벤트를 검색할 수도 있습니다. 자세한 내용은 엔터프라이즈의 감사 로그 API 사용을(를) 참조하세요.
텍스트를 사용하여 항목을 검색할 수 없습니다. 그러나 다양한 필터를 사용하여 검색 쿼리를 생성할 수 있습니다.
-, > 또는 <과 같이 로그를 쿼리할 때 사용되는 많은 연산자는 GitHub에서 검색하는 것과 동일한 형식입니다. 자세한 내용은 GitHub 검색 정보을(를) 참조하세요.
참고 항목
{ 데이터 재사용 가능.감사_로그.보존_기간 }
쿼리 필터 검색
| 필터 | 설명 |
|---|---|
Yesterday's activity | 지난날에 만들어진 모든 작업입니다. |
Enterprise account management |
`business` 범주의 모든 작업입니다. |
| Organization membership | 새 사용자가 조직에 가입하도록 초대된 경우에 대한 모든 작업입니다. |
| Team management | 팀 관리와 관련된 모든 작업입니다.
- 사용자 계정 또는 리포지토리가 팀에 추가되거나 팀에서 제거된 경우
- 팀 유지 관리자가 승격되거나 강등된 경우
- 팀이 삭제된 경우 |
| Repository management | 리포지토리 관리에 대한 모든 작업입니다.
- 리포지토리를 만들거나 삭제한 경우
- 리포지토리 표시 여부가 변경된 경우
- 팀이 리포지토리에 추가되거나 리포지토리에서 제거된 경우 |
| |
| Hook activity | 웹후크 및 사전 수신 후크에 대한 모든 작업입니다. |
| Security management | SSH 키, 배포 키, 보안 키, 2FA, SAML Single Sign-On 자격 증명 권한 부여 및 리포지토리에 대한 취약성 경고와 관련된 모든 작업입니다. |
검색 쿼리 구문
하나 이상의 key:value 쌍에서 검색 쿼리를 작성할 수 있습니다. 예를 들어 2017년 초부터 리포지토리 octocat/Spoon-Knife에 영향을 미치는 모든 작업을 확인하려면 다음을 수행합니다.
repo:"octocat/Spoon-Knife" created:>=2017-01-01
`key:value` 검색 쿼리에 사용할 수 있는 쌍은 다음과 같습니다.
| 키 | 값 |
|---|---|
action | 감사된 작업의 이름입니다. |
actor | 작업을 시작한 계정의 이름입니다. |
actor_id | 작업을 시작한 사용자 계정의 ID입니다. |
actor_ip | 작업이 시작된 IP 주소입니다. |
business | 작업의 영향을 받는 엔터프라이즈의 이름(해당하는 경우)입니다. |
business_id | 작업의 영향을 받는 엔터프라이즈의 ID(해당하는 경우)입니다. |
created | 작업이 발생한 시간입니다. 사이트 관리 대시보드에서 감사 로그를 쿼리하는 경우 created_at를 대신 사용합니다. |
country | 행위자가 작업을 수행할 때 있었던 국가의 이름입니다. |
country_code | 행위자가 작업을 수행할 때 있었던 국가의 짧은 코드(2자)입니다. |
from | 작업이 시작된 보기입니다. |
hashed_token | 작업에 대해 인증하는 데 사용되는 토큰입니다(해당하는 경우 액세스 토큰에 의해 수행되는 감사 로그 이벤트 식별 참조). |
ip | 행위자의 IP 주소입니다. |
note | 기타 이벤트 관련 정보(일반 텍스트 또는 JSON 형식)입니다. |
oauth_app_id | 작업과 연결된 OAuth app의 ID입니다. |
operation | 작업에 해당하는 작업 유형입니다. 작업 유형은 create, access, modify, remove, authentication, transfer 및 restore입니다. |
org | 작업의 영향을 받는 조직의 이름(해당하는 경우)입니다. |
org_id | 작업의 영향을 받는 조직의 ID(해당하는 경우)입니다. |
repo_id | 작업의 영향을 받는 리포지토리의 ID(해당하는 경우)입니다. |
repository | 작업이 발생한 리포지토리의 소유자의 이름(예: "octocat/octo-repo")입니다. |
user_id | 작업의 영향을 받는 사용자의 ID입니다. |
user | 작업의 영향을 받는 사용자의 이름입니다. 에이전트가 작업을 수행한 경우 이 필드에는 에이전트가 작동한 사용자의 이름이 포함됩니다. |
범주별로 그룹화된 작업을 보려면 작업 한정자를 key:value 쌍으로 사용할 수도 있습니다. 자세한 내용은 수행된 작업을 기반으로 검색을 참조하세요.
엔터프라이즈 감사 로그의 전체 작업 목록은 엔터프라이즈에 대한 감사 로그 이벤트을(를) 참조하세요.
감사 로그 검색
작업에 따라 검색
operation 한정자를 사용하여 특정 유형의 작업으로 동작을 제한합니다. 예시:
operation:access에서 리소스에 액세스한 모든 이벤트를 찾습니다.operation:authentication에서 인증 이벤트가 수행된 모든 이벤트를 찾습니다.operation:create에서 리소스가 만들어진 모든 이벤트를 찾습니다.operation:modify에서 기존 리소스가 수정된 모든 이벤트를 찾습니다.operation:remove에서 기존 리소스가 제거된 모든 이벤트를 찾습니다.operation:restore에서 기존 리소스가 복원된 모든 이벤트를 찾습니다.operation:transfer에서 기존 리소스가 전송된 모든 이벤트를 찾습니다.
감사 로그 저장소 별로 검색
행위자를 기반으로 검색
한정자는 actor 작업을 수행한 사용자 또는 에이전트에 따라 이벤트의 범위를 지정할 수 있습니다. 예시:
-
`actor:octocat`은 `octocat`에서 수행하는 모든 이벤트를 찾습니다. -
`actor:octocat actor:Copilot`은 `octocat` 또는 `Copilot`에서 수행하는 모든 이벤트를 찾습니다. -
`-actor:Copilot`은 `Copilot`에서 수행하는 모든 이벤트를 제외합니다.
GitHub 사용자 이름만 사용할 수 있으며 개인의 실명은 사용할 수 없습니다.
수행된 작업을 기반으로 검색
특정 이벤트를 검색하려면 쿼리에서 action 한정자를 사용합니다. 예시:
-
`action:team`은 팀 범주 내에서 그룹화된 모든 이벤트를 찾습니다. -
`-action:hook`는 웹후크 카테고리의 모든 이벤트를 제외합니다.
각 범주에는 필터링할 수 있는 연결된 작업 집합이 있습니다. 예시:
-
`action:team.create`는 팀이 만들어진 모든 이벤트를 찾습니다. -
`-action:hook.events_changed` 는 웹후크의 이벤트가 변경된 모든 이벤트를 제외합니다.
엔터프라이즈 감사 로그에서 찾을 수 있는 작업은 다음 범주 내에서 그룹화됩니다.
감사 로그 작업 범주
작업 시간을 기준으로 검색
`created` 한정자를 사용하여 발생한 시기에 따라 감사 로그에서 이벤트를 필터링합니다.
날짜 형식은 ISO8601 표준인 YYYY-MM-DD(년-월-일)를 따라야 합니다. 날짜 뒤에 선택적 시간 정보 THH:MM:SS+00:00을 추가하여 시, 분, 초로 검색할 수도 있습니다. 이것은 T이며 그 다음은 HH:MM:SS(시-분-초)와 UTC 오프셋(+00:00)입니다.
날짜를 검색할 때 보다 큼, 보다 작음, 범위 한정자를 사용하여 결과를 추가로 필터링할 수 있습니다. 자세한 내용은 검색 구문 이해을(를) 참조하세요.
예시:
-
`created:2014-07-08`은 2014년 7월 8일에 발생한 모든 이벤트를 찾습니다. -
`created:>=2014-07-08`은 2014년 7월 8일에 발생하거나 그 이후에 발생한 모든 이벤트를 찾습니다. -
`created:<=2014-07-08`은 2014년 7월 8일에 발생하거나 그 이전에 발생한 모든 이벤트를 찾습니다. -
`created:2014-07-01..2014-07-31`은 2014년 7월에 발생한 모든 이벤트를 찾습니다.
위치를 기반으로 검색
한정자 country를 사용하여 원래 국가를 기반으로 감사 로그의 이벤트를 필터링할 수 있습니다. 국가의 두 글자 짧은 코드 또는 전체 이름을 사용할 수 있습니다. 이름에 공백이 있는 국가는 따옴표로 묶어야 합니다. 예시:
-
`country:de`는 독일에서 발생한 모든 이벤트를 찾습니다. -
`country:Mexico`는 멕시코에서 발생한 모든 이벤트를 찾습니다. -
`country:"United States"`는 미국에서 발생한 모든 이벤트를 찾습니다.
작업을 수행한 토큰을 기준으로 검색
`hashed_token` 한정자를 사용하여 작업을 수행한 토큰을 기준으로 검색합니다. 토큰을 검색하려면 먼저 SHA-256 해시를 생성해야 합니다. 자세한 내용은 [AUTOTITLE](/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/identifying-audit-log-events-performed-by-an-access-token)을(를) 참조하세요.