关于搜索企业审核日志
通过使用筛选器下拉菜单或键入搜索查询来直接从用户界面搜索企业审核日志。
有关查看企业审核日志的详细信息,请参阅访问企业的审核日志。
注意
搜索结果中不包括 Git 事件。
也可以使用 API 检索审核日志事件。 有关详细信息,请参阅“在企业中使用审核日志 API”。
无法使用文本搜索条目。 但是,您可以使用各种过滤器构建搜索查询。 查询日志时使用的许多运算符,如 -、> 或 <,与在 GitHub 上搜索时的格式相同。 有关详细信息,请参阅“关于在GitHub上的搜索”。
注意
审核日志列出了由影响企业的活动触发的事件。 GitHub 的审核日志将无限期保留,除非企业所有者配置了不同的保留期。 请参阅 为企业配置审核日志。
默认情况下,仅显示过去三个月的事件。 若要查看较旧的事件,必须使用 created 参数指定日期范围。 请参阅“了解搜索语法”。
搜索查询筛选器
| 筛选器 | 说明 |
|---|---|
Yesterday's activity | 在过去一天中创建的所有操作。 |
Enterprise account management |
`business` 类别中的所有操作。 |
| Organization membership | 邀请新用户加入组织时的所有操作。 |
| Team management | 与团队管理相关的所有操作。
- 从团队添加或删除用户帐户或存储库时
- 当团队维护者被提升或降级时
- 删除团队时 |
| Repository management | 用于存储库管理的所有操作。
- 创建或删除存储库时
- 更改存储库可见性时
- 从存储库添加或删除团队时 |
| |
| Hook activity | 用于 Webhook 和预接收挂钩的所有操作。 |
| Security management | 有关 SSH 密钥、部署密钥、安全密钥、2FA 和 SAML 单一登录凭据授权以及存储库漏洞警报的所有操作。 |
搜索查询语法
您可以从一个或多个 key:value 对中撰写搜索查询。 例如,要查看自 2017 年初开始影响存储库 octocat/Spoon-Knife 的所有操作:
repo:"octocat/Spoon-Knife" created:>=2017-01-01
可以在搜索查询中使用的 key:value 对包括:
| 密钥 | 值 |
|---|---|
action | 已审核操作的名称。 |
actor | 发起操作的账户名称。 |
actor_id | 发起操作的用户帐户的 ID。 |
actor_ip | 发起操作的 IP 地址。 |
business | 受操作影响的企业名称(如果适用)。 |
business_id | 受操作影响的企业 ID(如果适用)。 |
created | 发生操作的时间。 如果从站点管理员仪表板查询审核日志,请改用 created_at。 |
country | 操作者执行操作时所在国家/地区的名称。 |
country_code | 操作者执行操作时所在国家/地区的双字母短代码。 |
from | 发起操作的视图。 |
hashed_token | 用于对操作进行身份验证的令牌(如果适用,请参阅 标识由访问令牌执行的审核日志事件)。 |
ip | 操作者的 IP 地址。 |
note | 其他特定于事件的信息(纯文本或 JSON 格式)。 |
oauth_app_id | 与操作关联的 OAuth app 的 ID。 |
operation | 与操作对应的操作类型。 操作类型有 create、access、modify、remove、authentication、transfer 和 restore。 |
org | 受操作影响的组织名称(如果适用)。 |
org_id | 受操作影响的组织 ID(如果适用)。 |
repo_id | 受操作影响的仓库 ID(如果适用)。 |
repository | 发生操作的存储库的所有者名称(例如 "octocat/octo-repo")。 |
user_id | 受操作影响的用户 ID。 |
user | 受操作影响的用户名称。 如果操作是由代理执行的,则此字段包含代理代表的用户的名称。 |
要查看按类别分组的操作,还可以将操作限定符用作 key:value 对。 有关详细信息,请参阅基于执行的操作进行搜索。
有关企业审核日志中的操作的完整列表,请参阅企业的审核日志事件。
搜索审核日志
基于操作搜索
使用 operation 限定符将操作限制为特定类型的操作。 例如:
operation:access查找访问过资源的所有事件。operation:authentication查找执行过身份验证事件的所有事件。operation:create查找创建过资源的所有事件。operation:modify查找修改过现有资源的所有事件。operation:remove查找删除过现有资源的所有事件。operation:restore查找还原过现有资源的所有事件。operation:transfer查找传输过现有资源的所有事件。
基于仓库搜索
使用 repo 限定符将操作限制到特定存储库。 例如:
repo:"my-org/our-repo"查找my-org组织中our-repo存储库发生的所有事件。repo:"my-org/our-repo" repo:"my-org/another-repo"查找my-org组织中our-repo和another-repo存储库发生的所有事件。-repo:"my-org/not-this-repo"排除my-org组织中not-this-repo存储库发生的所有事件。
请注意,repo 限定符中必须包含帐户名,并将其放在引号中,或使用 \ 转义 /;仅搜索 repo:our-repo 或 repo:my-org/our-repo 无效。
基于角色搜索
`actor`限定符可以根据执行作的人员或代理来限定事件范围。 举例来说:
-
`actor:octocat` 查找 `octocat` 执行的所有事件。 -
`actor:octocat actor:Copilot` 查找 `octocat` 或 `Copilot` 执行的所有事件。 -
`-actor:Copilot` 排除 `Copilot` 执行的所有事件。
请注意,只能使用 GitHub 用户名,而不是个人的真实姓名。
基于执行的操作搜索
若要搜索特定事件,请在查询中使用 action 限定符。 举例来说:
action:team查找分组在团队类别中的所有事件。-action:hook排除 Webhook 类别中的所有事件。
每个类别都有一组可进行过滤的关联操作。 举例来说:
action:team.create查找创建团队的所有事件。-action:hook.events_changed排除已更改 Webhook 上事件的所有事件。
可在企业审核日志中找到的操作按以下类别分组:
| 类别名称 | 说明 |
|---|---|
artifact | 包含与 GitHub Actions 工作流运行工件相关的活动。 |
audit_log_streaming | 包含与企业帐户中组织的流式审核日志相关的活动。 |
business | 包含与企业的业务设置相关的活动。 |
business_advanced_security | 包含与企业中的 Advanced Security 相关的活动。 |
business_secret_scanning | 包含与企业中的 secret scanning 相关的活动。 |
business_secret_scanning_automatic_validity_checks | 包含与在企业中启用或禁用 secret scanning 自动验证检查相关的活动。 |
business_secret_scanning_custom_pattern | 包含与企业中 secret scanning 的自定义模式相关的活动。 |
business_secret_scanning_custom_pattern_push_protection | 包含与企业中 secret scanning 的自定义模式推送保护相关的活动。 有关详细信息,请参阅“为机密扫描定义自定义模式”。 |
business_secret_scanning_push_protection | 包含与企业中 secret scanning 的推送保护功能相关的活动。 |
business_secret_scanning_push_protection_custom_message | 包含与在企业中触发推送保护时显示的自定义消息相关的活动。 |
checks | 包含与检查套件和运行相关的活动。 |
commit_comment | 包含与更新或删除提交评论相关的活动。 |
config_entry | 包含与配置设置相关的活动。 这些事件仅在站点管理员审核日志中可见。 |
dependabot_alerts | 包含现有存储库中 Dependabot alerts 的组织级配置活动。 有关详细信息,请参阅“关于 Dependabot 警报”。 |
dependabot_alerts_new_repos | 包含在组织中创建的新存储库中 Dependabot alerts 的组织级配置活动。 |
dependabot_repository_access | 包含与允许 Dependabot 访问组织中哪些专用存储库相关的活动。 |
dependabot_security_updates | 包含现有存储库中 Dependabot security updates 的组织级配置活动。 有关详细信息,请参阅“配置 Dependabot 安全更新”。 |
dependabot_security_updates_new_repos | 包含在组织中创建的新存储库的 Dependabot security updates 的组织级配置活动。 |
dependency_graph | 包含存储库依赖项关系图的组织级配置活动。 有关详细信息,请参阅“关于依赖关系图”。 |
dependency_graph_new_repos | 包含在组织中创建的新存储库的组织级配置活动。 |
dotcom_connection | 包含与 GitHub Connect 相关的活动。 |
enterprise | 包含与企业设置相关的活动。 |
hook | 包含与 Webhook 相关的活动。 |
integration | 包含与帐户中的集成相关的活动。 |
integration_installation | 包含与帐户中安装的集成相关的活动。 |
integration_installation_request | 包含与组织成员请求所有者批准在组织中使用的集成相关的活动。 |
issue | 包含与固定、转移或删除存储库中问题相关的活动。 |
issue_comment | 包含与固定、转移或删除问题评论相关的活动。 |
issues | 包含与为组织启用或禁用问题创建相关的活动。 |
members_can_create_pages | 包含与管理组织存储库的 GitHub Pages 站点发布相关的活动。 有关详细信息,请参阅“管理组织的 GitHub Pages 站点发布”。 |
members_can_create_private_pages | 包含与管理组织存储库的专用 GitHub Pages 站点发布相关的活动。 |
members_can_create_public_pages | 包含与管理组织存储库的公共 GitHub Pages 站点发布相关的活动。 |
members_can_delete_repos | 包含与为组织启用或禁用存储库创建相关的活动。 |
oauth_access | 包含与 OAuth 访问令牌相关的活动。 |
oauth_application | 包含与 OAuth apps 相关的活动。 |
org | 包含与组织会员资格相关的活动。 |
org_credential_authorization | 包含与授权凭据以用于 SAML 单一登录相关的活动。 |
org_secret_scanning_automatic_validity_checks | 包含与在组织中启用或禁用 secret scanning 的自动有效性检查相关的活动。 有关详细信息,请参阅“管理组织的安全和分析设置”。 |
org_secret_scanning_custom_pattern | 包含与组织中 secret scanning 的自定义模式相关的活动。 有关详细信息,请参阅“为机密扫描定义自定义模式”。 |
organization_default_label | 包含与组织中存储库的默认标签相关的活动。 |
organization_domain | 包含与已验证组织域相关的活动。 |
organization_projects_change | 包含与企业中组织范围的 projects 相关的活动。 |
pre_receive_environment | 包含与预接收挂钩环境相关的活动。 |
pre_receive_hook | 包含与预接收挂钩相关的活动。 |
private_instance_encryption | 包含与为企业启用专用模式相关的活动。 |
private_repository_forking | 包含与允许存储库、组织或企业的专用和内部存储库分支相关的活动。 |
project | 包含与项目相关的活动。 |
project_field | 包含与项目中的字段创建和删除相关的活动。 |
project_view | 包含与项目中的视图创建和删除相关的活动。 |
protected_branch | 包含与受保护分支相关的活动。 |
public_key | 包含与 SSH 密钥和部署密钥相关的活动。 |
pull_request | 包含与拉取请求相关的活动。 |
pull_request_review | 包含与拉取请求评审相关的活动。 |
pull_request_review_comment | 包含与拉取请求评审评论相关的活动。 |
repo | 包含与组织拥有的存储库相关的活动。 |
repository_image | 包含与存储库映像相关的活动。 |
repository_invitation | 包含与邀请加入存储库相关的活动。 |
repository_projects_change | 包含与为存储库或组织中的所有存储库启用项目相关的活动。 |
repository_secret_scanning | 包含与 secret scanning 相关的存储库级活动。 有关详细信息,请参阅“关于机密扫描”。 |
repository_secret_scanning_automatic_validity_checks | 包含与为存储库中的 secret scanning 启用或禁用自动有效性检查相关的活动。 有关详细信息,请参阅“为存储库启用机密扫描”。 |
repository_secret_scanning_custom_pattern | 包含与存储库中的 secret scanning 自定义模式相关的活动。 有关详细信息,请参阅“为机密扫描定义自定义模式”。 |
repository_secret_scanning_custom_pattern_push_protection | 包含与存储库中 secret scanning 的自定义模式的推送保护相关的活动。 有关详细信息,请参阅“为机密扫描定义自定义模式”。 |
repository_secret_scanning_push_protection | 包含与存储库中 secret scanning 的推送保护功能相关的活动。 有关详细信息,请参阅“关于推送保护”。 |
repository_vulnerability_alert | 包含与 Dependabot alerts 相关的活动。 |
restrict_notification_delivery | 包含与将电子邮件通知限制为企业的已批准或已验证域相关的活动。 |
role | 包含与自定义存储库角色相关的活动。 |
secret_scanning | 包含现有存储库中 secret scanning 的组织级配置活动。 有关详细信息,请参阅“关于机密扫描”。 |
secret_scanning_new_repos | 包含在组织中创建的新存储库的 secret scanning 的组织级配置活动。 |
security_key | 包含与安全密钥注册和删除相关的活动。 |
ssh_certificate_authority | 包含与组织或企业中的 SSH 证书颁发机构相关的活动。 |
ssh_certificate_requirement | 包含与要求成员使用 SSH 证书访问组织资源相关的活动。 |
staff | 包含与执行操作的网站管理员相关的活动。 |
team | 包含与组织中的团队相关的活动。 |
two_factor_authentication | 包含与双因素身份验证相关的活动。 |
user | 包含与企业或组织中的用户相关的活动。 |
user_license | 包含与用户在企业中占用许可证并成为其成员相关的活动。 |
workflows | 包含与 GitHub Actions 工作流相关的活动。 |
基于操作时间搜索
使用 created 限定符可以根据事件发生的时间筛选审核日志中的事件。
日期格式必须遵循 ISO8601 标准,即 YYYY-MM-DD(年-月-日)。 也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以按小时、分钟和秒进行搜索。 即 T,随后是 HH:MM:SS(时-分-秒)和 UTC 时差 (+00:00)。
搜索日期时,可以使用大于、小于和范围限定符来进一步筛选结果。 有关详细信息,请参阅“了解搜索语法”。
举例来说:
created:2014-07-08查找 2014 年 7 月 8 日发生的所有事件。created:>=2014-07-08查找 2014 年 7 月 8 日当天或之后发生的所有事件。created:<=2014-07-08查找 2014 年 7 月 8 日当天或之前发生的所有事件。created:2014-07-01..2014-07-31查找 2014 年 7 月发生的所有事件。
基于位置搜索
使用限定符 country,可以根据原始国家/地区筛选审核日志中的事件。 你可以使用国家/地区的两字母短代码或完整名称。 名称中包含空格的国家/地区需要加引号。 举例来说:
country:de查找在德国发生的所有事件。country:Mexico查找在墨西哥发生的所有事件。country:"United States"查找全发生在美国的事件。
根据执行操作的令牌进行搜索
使用 hashed_token 限定符根据执行操作的令牌进行搜索。 必须先生成 SHA-256 哈希,然后才能搜索令牌。 有关详细信息,请参阅“标识由访问令牌执行的审核日志事件”。