Доступ к журналу аудита

Журнал аудита перечисляет события, активируемые действиями, влияющими на вашу организацию за последние 180 дней. Только владельцы могут иметь доступ к журналу аудита организации.

По умолчанию отображаются только события за последние три месяца. Чтобы увидеть старые события, необходимо указать диапазон дат с параметром created. См . раздел AUTOTITLE.

1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

2. Выберите организацию, кликнув по ней.

3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

4. В разделе "Архив" боковой панели щелкните Logs, а затем щелкните журнал аудита.

Поиск в журнале аудита

Имя каждой записи журнала аудита состоит из категории событий, за которым следует тип операции. Например, запись repo.create указывает на операцию create в категории repo.

Каждая запись в журнале аудита содержит применимые сведения о событии, например:

• enterprise или организация, в результате выполнения действия в
• Пользователь (субъект), выполнивший действие
• Пользователь, на которого повлияло действие
• Репозиторий, в котором было выполнено действие
• Действие, которое было выполнено.
• Страна, в которой было выполнено действие.
• Дата и время возникновения действия
• Удостоверение единого входа SAML и SCIM пользователя (субъекта), выполнившего действие
• Действия за пределами веб-интерфейса, как пользователь (субъект) прошел проверку подлинности

Обратите внимание, что поиск записей по тексту невозможен. При этом можно составлять поисковые запросы, используя различные фильтры. Многие операторы, используемые при запросе к журналу, например -, >или <совпадают с тем же форматом, что и поиск по GitHub. Дополнительные сведения см. в разделе О поиске на GitHub.

Поиск по операции

Чтобы ограничить действия определенными типами операций, используйте квалификатор operation. Например:

• operation:access находит все события, в которых осуществлялся доступ к ресурсу.
• operation:authentication находит все события, в которых происходило событие проверки подлинности.
• operation:create находит все события, в которых создавался ресурс.
• operation:modify находит все события, в которых изменялся существующий ресурс.
• operation:remove находит все события, в которых удалялся существующий ресурс.
• operation:restore находит все события, в которых восстанавливался существующий ресурс.
• operation:transfer находит все события, в которых переносился существующий ресурс.

Поиск по репозиторию

Чтобы ограничить действия определенным репозиторием, используйте квалификатор repo. Например:

• repo:my-org/our-repo находит все произошедшие события для репозитория our-repo в организации my-org.
• repo:my-org/our-repo repo:my-org/another-repo находит все произошедшие события для репозиториев our-repo и another-repo в организации my-org.
• -repo:my-org/not-this-repo исключает все произошедшие события для репозитория not-this-repo в организации my-org.

Обратите внимание, что необходимо включить имя учетной repo записи в квалификатор. Поиск просто repo:our-repo не будет работать.

Поиск по актеру

Квалификатор actor может ограничивать события на основе пользователя или агента, выполнившего действие. Например:

• actor:octocat находит все события, выполненные пользователем octocat.
• actor:octocat actor:Copilot находит все события, выполненные octocat или Copilot.
• -actor:Copilot исключает все события, выполненные пользователем Copilot.

Обратите внимание, что вы можете использовать только имя пользователя GitHub, а не реальное имя пользователя.

Поиск с учетом выполненного действия

Для поиска определенных событий используйте квалификатор action в запросе. Действия, перечисленные в журнале аудита, группируются в разных категориях. Полный список событий в каждой категории см. в разделе События журнала аудита для организации.

Название категории	Description
account	Содержит все действия, связанные с учетной записью организации.
advisory_credit	Содержит все действия, связанные с кредитом участника для рекомендаций по обеспечению безопасности в GitHub Advisory Database. Дополнительные сведения см. в разделе Сведения о помощниках по безопасности репозитория.
auto_approve_personal_access_token_requests	Содержит действия, связанные с политикой утверждения организации для fine-grained personal access tokens. Дополнительные сведения см. в разделе Настройка политики личного маркера доступа для вашей организации.
billing	Содержит все действия, связанные с выставлением счетов вашей организации.
business	Содержит действия, связанные с параметрами бизнеса для предприятия.
code-scanning	Содержит все действия, связанные с оповещениями проверки кода вашей организации.
codespaces	Содержит все действия, связанные с пространствами кода вашей организации.
copilot	Содержит все действия, связанные с подпиской GitHub Copilot для бизнеса или GitHub Copilot Enterprise.
dependabot_alerts	Содержит действия конфигурации уровня организации для Dependabot alerts в существующих репозиториях. Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.
dependabot_alerts_new_repos	Содержит действия конфигурации уровня организации для Dependabot alerts в новых репозиториях, созданных в организации.
dependabot_security_updates	Содержит действия конфигурации уровня организации для Dependabot security updates в существующих репозиториях. Дополнительные сведения см. в разделе Настройка обновлений для системы безопасности Dependabot.
dependabot_security_updates_new_repos	Содержит действия по настройке уровня организации для Dependabot security updates для новых репозиториев, созданных в организации.
dependency_graph	Содержит действия конфигурации уровня организации для граф зависимостей для репозиториев. Дополнительные сведения см. в разделе Сведения о графе зависимостей.
dependency_graph_new_repos	Содержит действия по настройке на уровне организации для новых репозиториев, созданных в организации.
discussion_post	Содержит все действия, связанные с обсуждениями, размещенными на странице группы.
discussion_post_reply	Содержит все действия, связанные с ответами на обсуждения, размещенные на странице группы.
enterprise	Содержит действия, связанные с параметрами предприятия.
hook	Содержит все действия, связанные с веб-перехватчиками.
integration_installation	Содержит действия, связанные с интеграцией, установленной в учетной записи.
integration_installation_request	Содержит все действия, связанные с запросами участников организации для утверждения интеграции для использования в организации.
ip_allow_list	Содержит действия, связанные с включением или отключением списка разрешений IP для организации.
ip_allow_list_entry	Содержит действия, связанные с созданием, удалением и редактированием записи списка разрешений IP для организации.
issue	Содержит действия, связанные с удалением проблемы.
marketplace_agreement_signature	Содержит все действия, связанные с подписанием соглашения о разработчике GitHub Marketplace.
marketplace_listing	Содержит все действия, связанные с перечислением приложений в GitHub Marketplace.
members_can_create_pages	Содержит все действия, связанные с управлением публикацией сайтов GitHub Pages для репозиториев в организации. Дополнительные сведения см. в разделе Управление публикацией сайтов GitHub Pages для вашей организации.
org	Содержит действия, связанные с членством в организации.
org_credential_authorization	Содержит все действия, связанные с авторизацией учетных данных для использования с единым входом SAML.
org_secret_scanning_automatic_validity_checks	Содержит действия уровня организации, связанные с включением и отключением автоматических проверок допустимости для secret scanning. Дополнительные сведения см. в разделе Управление параметрами безопасности и анализа для организации.
org_secret_scanning_custom_pattern	Содержит действия уровня организации, связанные с пользовательскими шаблонами secret scanning. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.
organization_default_label	Содержит все действия, связанные с метками по умолчанию для репозиториев в организации.
oauth_application	Содержит все действия, связанные с OAuth apps.
packages	Содержит все действия, связанные с GitHub Packages.
payment_method	Содержит все действия, связанные с оплатой GitHub вашей организацией.
personal_access_token	Содержит действия, связанные с fine-grained personal access tokens в вашей организации. Дополнительные сведения см. в разделе Управление личными маркерами доступа.
profile_picture	Содержит все действия, связанные с изображением профиля вашей организации.
project	Содержит все действия, связанные с проекты.
protected_branch	Содержит все действия, связанные с защищенная ветвь.
repo	Содержит действия, связанные с репозиториями, принадлежащими вашей организации.
repository_advisory	Содержит действия уровня репозитория, связанные с помощниками по безопасности в GitHub Advisory Database. Дополнительные сведения см. в разделе Сведения о помощниках по безопасности репозитория.
repository_content_analysis	Содержит все действия, связанные с включением или отключением использования данных для частного репозитория. Дополнительные сведения см. в разделе Управление параметрами безопасности и анализа для репозитория.
repository_dependency_graph	Содержит действия уровня репозитория, связанные с включением или отключением граф зависимостей для частного репозитория. Дополнительные сведения см. в разделе Сведения о графе зависимостей.
repository_secret_scanning	Содержит действия уровня репозитория, связанные с secret scanning. Дополнительные сведения см. в разделе Сведения о проверке секретов.
repository_secret_scanning_automatic_validity_checks	Содержит действия уровня репозитория, связанные с включением и отключением автоматических проверок допустимости для secret scanning. Дополнительные сведения см. в разделе Включение проверки секретов для репозитория.
repository_secret_scanning_custom_pattern	Содержит действия уровня репозитория, связанные с пользовательскими шаблонами secret scanning. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.
repository_secret_scanning_custom_pattern_push_protection	Содержит действия уровня репозитория, связанные с принудительной защитой пользовательского шаблона для secret scanning. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.
repository_secret_scanning_push_protection	Содержит действия уровня репозитория, связанные с защитой от отправки secret scanning. Дополнительные сведения см. в разделе Сведения о защите push-уведомлений.
repository_vulnerability_alert	Содержит все действия, связанные с Dependabot alerts.
repository_vulnerability_alerts	Содержит действия конфигурации уровня репозитория для Dependabot alerts.
role	Содержит все действия, связанные с пользовательскими ролями репозитория.
secret_scanning	Содержит действия конфигурации уровня организации для secret scanning в существующих репозиториях. Дополнительные сведения см. в разделе Сведения о проверке секретов.
secret_scanning_new_repos	Содержит действия конфигурации уровня организации для secret scanning для новых репозиториев, созданных в организации.
restore_member	Активируется при восстановлении элемента владелец организации. Дополнительные сведения см. в разделе Восстановление бывшего члена организации.
sponsors	Содержит все события, связанные с кнопками спонсора (см . AUTOTITLE)
team	Содержит все действия, связанные с командами в организации.
workflows	Содержит действия, связанные с рабочими процессами GitHub Actions.

Вы можете искать конкретные наборы действий с помощью этих терминов. Например:

• action:team находит все события, сгруппированные в категории команды.
• -action:hook исключает все события в категории веб-перехватчика.

Каждая категория содержит набор связанных действий, для которых можно выполнить фильтрацию. Например:

• action:team.create находит все события, в которых создавалась команда.
• -action:hook.events_changed исключает все события, в рамках которых изменялись события в веб-перехватчике.

Поиск с учетом времени действия

Используйте квалификатор created для фильтрации событий в журнале аудита с учетом времени их возникновения. Форматы дат должны соответствовать стандарту ISO8601: YYYY-MM-DD (год-месяц-день). Кроме того, можно добавить дополнительные сведения о времени THH:MM:SS+00:00 после даты, чтобы выполнить поиск по часам, минутам и секундам. Это T, а затем идет HH:MM:SS (час, минуты, секунды) и смещение от UTC (+00:00).

При поиске по дате можно использовать квалификаторы "больше", "меньше" и "диапазон" для дополнительной фильтрации результатов. Дополнительные сведения см. в разделе Основные сведения о синтаксисе поиска.

Например:

• created:2014-07-08 находит все события, произошедшие 8 июля 2014 г.
• created:>=2014-07-08 находит все события, произошедшие после 8 июля 2014 г.
• created:<=2014-07-08 находит все события, произошедшие до 8 июля 2014 г.
• created:2014-07-01..2014-07-31 находит все события, произошедшие в июле 2014 г.

Поиск по расположению

С помощью квалификатора country можно выполнить фильтрацию событий в журнале аудита с учетом страны-происхождения. Можно использовать двухбуквенный короткий код страны или ее полное название. Имейте в виду, что страны, в названиях которых есть пробелы, необходимо заключать в кавычки. Например:

• country:de находит все события, произошедшие в Германии.
• country:Mexico находит все события, произошедшие в Мексике.
• country:"United States" все находит события, произошедшие в United States.

Поиск на основе маркера доступа

Вы можете определить все события, выполненные определенным маркером доступа. Дополнительные сведения см. в разделе Определение событий журнала аудита, выполняемых маркером доступа.

Экспорт журнала аудита

Журнал можно экспортировать в виде данных JSON или CSV-файла с разделием запятыми с помощью раскрывающегося меню "Экспорт ".

Чтобы отфильтровать результаты экспорта, выполните поиск по одному или нескольким поддерживаемым квалификаторами перед использованием раскрывающегося меню экспорта .

Квалификатор	Пример значения
action	team.create
actor	octocat
user	codertocat
org	octo-org
repo	octo-org/documentation
created	2019-06-01

В файле, который будет создан после экспорта журнала, вы найдете указанные ниже ключи и значения.

Ключ	Пример значения
action	team.create
actor	octocat
user	codertocat
actor_location.country_code	US
org	octo-org
repo	octo-org/documentation
created_at	1429548104000 (Метка времени показывает время, прошедшее после Epoch, в миллисекундах.)
data.email	octocat@nowhere.com
data.hook_id	245
data.events	["issues", "issue_comment", "pull_request", "pull_request_review_comment"]
data.events_were	["push", "pull_request", "issues"]
data.target_login	octocat
data.old_user	hubot
data.team	octo-org/engineering

Использование API журнала аудита

Вы можете взаимодействовать с журналом аудита с помощью API GraphQL или REST API. Область read:audit_log можно использовать для доступа к журналу аудита с помощью API.

Использование API GraphQL

Чтобы обеспечить безопасность интеллектуальной собственности и обеспечить соответствие требованиям вашей организации, можно использовать API GraphQL журнала аудита для хранения копий данных журнала аудита и мониторинга: * обращение к параметрам вашей организации или репозитория;

• изменения в разрешениях;
• добавление или удаление пользователей в организации, репозитории или команде;
• повышение пользователей до администратора;
• Изменения разрешений для GitHub App
• Запросы API (должны быть включены)

Обратите внимание, что вы не можете получить события Git с помощью API GraphQL. Чтобы получить события Git, используйте REST API. Дополнительные сведения см. в разделе git "Действия категории".

Ответ GraphQL может содержать данные за 90–120 дней.

Например, вы можете создать запрос GraphQL, чтобы просмотреть всех новых участников, добавленных в вашу организацию. Дополнительные сведения см. в разделе AUTOTITLE.

Использование REST API

Чтобы обеспечить безопасность интеллектуальной собственности и обеспечить соответствие вашей организации, можно использовать REST API журнала аудита для хранения копий данных журнала аудита. Дополнительные сведения о конкретных событиях, к которые можно получить доступ с помощью REST API, см. в разделе События журнала аудита для организации.

События Git хранятся в журнале аудита семь дней — Это меньше, чем другие события журнала аудита, которые могут храниться до семи месяцев.

По умолчанию возвращаются только события за последние три месяца. Чтобы включить более ранние события, необходимо указать метку времени в запросе.

При использовании REST API для запроса событий Git события, инициированные через веб-браузер или REST или API GraphQL, не включаются. Например, при слиянии запроса на вытягивание в веб-браузере изменения отправляются в базовая ветвь, но событие Git для этой отправки не включается в ответ.

Дополнительные сведения о REST API журнала аудита см. в разделе Конечные точки REST API для организаций.

Дополнительные материалы

• Обеспечение безопасности организации
• Экспорт сведений об участниках организации