Доступ к журналу аудита

Журнал аудита перечисляет события, активируемые действиями, влияющими на вашу организацию за последние 180 дней. Только владельцы могут иметь доступ к журналу аудита организации.

По умолчанию отображаются только события за последние три месяца. Чтобы увидеть старые события, необходимо указать диапазон дат с параметром created. См . раздел AUTOTITLE.

1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

2. Выберите организацию, кликнув по ней.

3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

4. В разделе "Архив" боковой панели щелкните Logs, а затем щелкните журнал аудита.

Поиск в журнале аудита

Имя каждой записи журнала аудита состоит из категории событий, за которым следует тип операции. Например, запись repo.create указывает на операцию create в категории repo.

Каждая запись в журнале аудита содержит применимые сведения о событии, например:

• enterprise или организация, в результате выполнения действия в
• Пользователь (субъект), выполнивший действие
• Пользователь, на которого повлияло действие
• Репозиторий, в котором было выполнено действие
• Действие, которое было выполнено.
• Страна, в которой было выполнено действие.
• Дата и время возникновения действия
• Удостоверение единого входа SAML и SCIM пользователя (субъекта), выполнившего действие
• Действия за пределами веб-интерфейса, как пользователь (субъект) прошел проверку подлинности

Обратите внимание, что поиск записей по тексту невозможен. При этом можно составлять поисковые запросы, используя различные фильтры. Многие операторы, используемые при запросе к журналу, например -, >или <совпадают с тем же форматом, что и поиск по GitHub. Дополнительные сведения см. в разделе О поиске на GitHub.

Поиск по операции

Чтобы ограничить действия определенными типами операций, используйте квалификатор operation. Например:

• operation:access находит все события, в которых осуществлялся доступ к ресурсу.
• operation:authentication находит все события, в которых происходило событие проверки подлинности.
• operation:create находит все события, в которых создавался ресурс.
• operation:modify находит все события, в которых изменялся существующий ресурс.
• operation:remove находит все события, в которых удалялся существующий ресурс.
• operation:restore находит все события, в которых восстанавливался существующий ресурс.
• operation:transfer находит все события, в которых переносился существующий ресурс.

Поиск по репозиторию

Чтобы ограничить действия определенным репозиторием, используйте квалификатор repo. Например:

• repo:"my-org/our-repo" находит все произошедшие события для репозитория our-repo в организации my-org.
• repo:"my-org/our-repo" repo:"my-org/another-repo" находит все произошедшие события для репозиториев our-repo и another-repo в организации my-org.
• -repo:"my-org/not-this-repo" исключает все произошедшие события для репозитория not-this-repo в организации my-org.

Обратите внимание, что необходимо включить имя учетной записи в repo квалификатор и поместить его в кавычки или экранировать / с помощью ; \поиск только repo:our-repo или repo:my-org/our-repo не будет работать.

Поиск по актеру

Квалификатор actor может ограничивать события на основе пользователя или агента, выполнившего действие. Например:

• actor:octocat находит все события, выполненные пользователем octocat.
• actor:octocat actor:Copilot находит все события, выполненные octocat или Copilot.
• -actor:Copilot исключает все события, выполненные пользователем Copilot.

Обратите внимание, что вы можете использовать только имя пользователя GitHub, а не реальное имя пользователя.

Поиск с учетом выполненного действия

Для поиска определенных событий используйте квалификатор action в запросе. Действия, перечисленные в журнале аудита, группируются в разных категориях. Полный список событий в каждой категории см. в разделе События журнала аудита для организации.

Название категории	Description
auto_approve_personal_access_token_requests	Содержит действия, связанные с политикой утверждения организации для fine-grained personal access tokens. Дополнительные сведения см. в разделе Настройка политики личного маркера доступа для вашей организации.
code-scanning	Содержит все действия, связанные с оповещениями проверки кода вашей организации.
dependabot_alerts	Содержит действия конфигурации уровня организации для Dependabot alerts в существующих репозиториях. Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.
dependabot_alerts_new_repos	Содержит действия конфигурации уровня организации для Dependabot alerts в новых репозиториях, созданных в организации.
dependabot_security_updates	Содержит действия конфигурации уровня организации для Dependabot security updates в существующих репозиториях. Дополнительные сведения см. в разделе Настройка обновлений для системы безопасности Dependabot.
dependabot_security_updates_new_repos	Содержит действия по настройке уровня организации для Dependabot security updates для новых репозиториев, созданных в организации.
discussion_post	Содержит все действия, связанные с обсуждениями, размещенными на странице группы.
discussion_post_reply	Содержит все действия, связанные с ответами на обсуждения, размещенные на странице группы.
enterprise	Содержит действия, связанные с параметрами предприятия.
hook	Содержит все действия, связанные с веб-перехватчиками.
integration_installation	Содержит действия, связанные с интеграцией, установленной в учетной записи.
integration_installation_request	Содержит все действия, связанные с запросами участников организации для утверждения интеграции для использования в организации.
issue	Содержит действия, связанные с удалением проблемы.
members_can_create_pages	Содержит все действия, связанные с управлением публикацией сайтов GitHub Pages для репозиториев в организации. Дополнительные сведения см. в разделе Управление публикацией сайтов GitHub Pages для вашей организации.
org	Содержит действия, связанные с членством в организации.
org_secret_scanning_automatic_validity_checks	Содержит действия уровня организации, связанные с включением и отключением автоматических проверок допустимости для secret scanning. Дополнительные сведения см. в разделе Управление параметрами безопасности и анализа для организации.
org_secret_scanning_custom_pattern	Содержит действия уровня организации, связанные с пользовательскими шаблонами secret scanning. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.
organization_default_label	Содержит все действия, связанные с метками по умолчанию для репозиториев в организации.
oauth_application	Содержит все действия, связанные с OAuth apps.
packages	Содержит все действия, связанные с GitHub Packages.
personal_access_token	Содержит действия, связанные с fine-grained personal access tokens в вашей организации. Дополнительные сведения см. в разделе Управление личными маркерами доступа.
profile_picture	Содержит все действия, связанные с изображением профиля вашей организации.
project	Содержит все действия, связанные с проекты.
protected_branch	Содержит все действия, связанные с защищенная ветвь.
repo	Содержит действия, связанные с репозиториями, принадлежащими вашей организации.
repository_secret_scanning	Содержит действия уровня репозитория, связанные с secret scanning. Дополнительные сведения см. в разделе Сведения о проверке секретов.
repository_secret_scanning_automatic_validity_checks	Содержит действия уровня репозитория, связанные с включением и отключением автоматических проверок допустимости для secret scanning. Дополнительные сведения см. в разделе Включение проверки секретов для репозитория.
repository_secret_scanning_custom_pattern	Содержит действия уровня репозитория, связанные с пользовательскими шаблонами secret scanning. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.
repository_secret_scanning_custom_pattern_push_protection	Содержит действия уровня репозитория, связанные с принудительной защитой пользовательского шаблона для secret scanning. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.
repository_secret_scanning_push_protection	Содержит действия уровня репозитория, связанные с защитой от отправки secret scanning. Дополнительные сведения см. в разделе Сведения о защите push-уведомлений.
repository_vulnerability_alert	Содержит все действия, связанные с Dependabot alerts.
role	Содержит все действия, связанные с пользовательскими ролями репозитория.
secret_scanning	Содержит действия конфигурации уровня организации для secret scanning в существующих репозиториях. Дополнительные сведения см. в разделе Сведения о проверке секретов.
secret_scanning_new_repos	Содержит действия конфигурации уровня организации для secret scanning для новых репозиториев, созданных в организации.
team	Содержит все действия, связанные с командами в организации.
workflows	Содержит действия, связанные с рабочими процессами GitHub Actions.

Вы можете искать конкретные наборы действий с помощью этих терминов. Например:

• action:team находит все события, сгруппированные в категории команды.
• -action:hook исключает все события в категории веб-перехватчика.

Каждая категория содержит набор связанных действий, для которых можно выполнить фильтрацию. Например:

• action:team.create находит все события, в которых создавалась команда.
• -action:hook.events_changed исключает все события, в рамках которых изменялись события в веб-перехватчике.

Поиск с учетом времени действия

Используйте квалификатор created для фильтрации событий в журнале аудита с учетом времени их возникновения. Форматы дат должны соответствовать стандарту ISO8601: YYYY-MM-DD (год-месяц-день). Кроме того, можно добавить дополнительные сведения о времени THH:MM:SS+00:00 после даты, чтобы выполнить поиск по часам, минутам и секундам. Это T, а затем идет HH:MM:SS (час, минуты, секунды) и смещение от UTC (+00:00).

При поиске по дате можно использовать квалификаторы "больше", "меньше" и "диапазон" для дополнительной фильтрации результатов. Дополнительные сведения см. в разделе Основные сведения о синтаксисе поиска.

Например:

• created:2014-07-08 находит все события, произошедшие 8 июля 2014 г.
• created:>=2014-07-08 находит все события, произошедшие после 8 июля 2014 г.
• created:<=2014-07-08 находит все события, произошедшие до 8 июля 2014 г.
• created:2014-07-01..2014-07-31 находит все события, произошедшие в июле 2014 г.

Поиск по расположению

С помощью квалификатора country можно выполнить фильтрацию событий в журнале аудита с учетом страны-происхождения. Можно использовать двухбуквенный короткий код страны или ее полное название. Имейте в виду, что страны, в названиях которых есть пробелы, необходимо заключать в кавычки. Например:

• country:de находит все события, произошедшие в Германии.
• country:Mexico находит все события, произошедшие в Мексике.
• country:"United States" все находит события, произошедшие в United States.

Использование API журнала аудита

Вы можете взаимодействовать с журналом аудита с помощью API GraphQL. Область read:audit_log можно использовать для доступа к журналу аудита с помощью API.

Чтобы обеспечить безопасность интеллектуальной собственности и обеспечить соответствие требованиям вашей организации, можно использовать API GraphQL журнала аудита для хранения копий данных журнала аудита и мониторинга: * обращение к параметрам вашей организации или репозитория;

• изменения в разрешениях;
• добавление или удаление пользователей в организации, репозитории или команде;
• повышение пользователей до администратора;
• Изменения разрешений для GitHub App

Ответ GraphQL может содержать данные за 90–120 дней.

Например, вы можете создать запрос GraphQL, чтобы просмотреть всех новых участников, добавленных в вашу организацию. Дополнительные сведения см. в разделе AUTOTITLE.

Дополнительные материалы

• Обеспечение безопасности организации