Skip to main content

搜索企业的审核日志

可以在企业中搜索已审核操作的广泛列表。

谁可以使用此功能?

Enterprise owners and site administrators can search the audit log.

关于搜索企业审核日志

通过使用筛选器下拉菜单或键入搜索查询来直接从用户界面搜索企业审核日志。

有关查看企业审核日志的详细信息,请参阅访问企业的审核日志

注意

搜索结果中不包括 Git 事件。

也可以使用 API 检索审核日志事件。 有关详细信息,请参阅“在企业中使用审核日志 API”。

无法使用文本搜索条目。 但是,您可以使用各种过滤器构建搜索查询。 查询日志时使用的许多运算符,如 -><,与在 GitHub 上搜索时的格式相同。 有关详细信息,请参阅“关于在GitHub上的搜索”。

注意

审核日志列出了由影响企业的活动触发的事件。 GitHub 的审核日志将无限期保留,除非企业所有者配置了不同的保留期。 请参阅 为企业配置审核日志

默认情况下,仅显示过去三个月的事件。 若要查看较旧的事件,必须使用 created 参数指定日期范围。 请参阅“了解搜索语法”。

搜索查询筛选器

筛选器说明
Yesterday's activity在过去一天中创建的所有操作。
Enterprise account management
business 类别中的所有操作。
Organization membership邀请新用户加入组织时的所有操作。
Team management与团队管理相关的所有操作。
- 从团队添加或删除用户帐户或存储库时
- 当团队维护者被提升或降级时
- 删除团队时
Repository management用于存储库管理的所有操作。
- 创建或删除存储库时
- 更改存储库可见性时
- 从存储库添加或删除团队时
Hook activity用于 Webhook 和预接收挂钩的所有操作。
Security management有关 SSH 密钥、部署密钥、安全密钥、2FA 和 SAML 单一登录凭据授权以及存储库漏洞警报的所有操作。

搜索查询语法

您可以从一个或多个 key:value 对中撰写搜索查询。 例如,要查看自 2017 年初开始影响存储库 octocat/Spoon-Knife 的所有操作:

repo:"octocat/Spoon-Knife" created:>=2017-01-01

可以在搜索查询中使用的 key:value 对包括:

密钥
action已审核操作的名称。
actor发起操作的账户名称。
actor_id发起操作的用户帐户的 ID。
actor_ip发起操作的 IP 地址。
business受操作影响的企业名称(如果适用)。
business_id受操作影响的企业 ID(如果适用)。
created发生操作的时间。 如果从站点管理员仪表板查询审核日志,请改用 created_at
country操作者执行操作时所在国家/地区的名称。
country_code操作者执行操作时所在国家/地区的双字母短代码。
from发起操作的视图。
hashed_token用于对操作进行身份验证的令牌(如果适用,请参阅 标识由访问令牌执行的审核日志事件)。
ip操作者的 IP 地址。
note其他特定于事件的信息(纯文本或 JSON 格式)。
oauth_app_id与操作关联的 OAuth app 的 ID。
operation与操作对应的操作类型。 操作类型有 createaccessmodifyremoveauthenticationtransferrestore
org受操作影响的组织名称(如果适用)。
org_id受操作影响的组织 ID(如果适用)。
repo_id受操作影响的仓库 ID(如果适用)。
repository发生操作的存储库的所有者名称(例如 "octocat/octo-repo")。
user_id受操作影响的用户 ID。
user受操作影响的用户名称。 如果操作是由代理执行的,则此字段包含代理代表的用户的名称。

要查看按类别分组的操作,还可以将操作限定符用作 key:value 对。 有关详细信息,请参阅基于执行的操作进行搜索

有关企业审核日志中的操作的完整列表,请参阅企业的审核日志事件

搜索审核日志

基于操作搜索

使用 operation 限定符将操作限制为特定类型的操作。 例如:

  • operation:access 查找访问过资源的所有事件。
  • operation:authentication 查找执行过身份验证事件的所有事件。
  • operation:create 查找创建过资源的所有事件。
  • operation:modify 查找修改过现有资源的所有事件。
  • operation:remove 查找删除过现有资源的所有事件。
  • operation:restore 查找还原过现有资源的所有事件。
  • operation:transfer 查找传输过现有资源的所有事件。

基于仓库搜索

使用 repo 限定符将操作限制到特定存储库。 例如:

  • repo:"my-org/our-repo" 查找 my-org 组织中 our-repo 存储库发生的所有事件。
  • repo:"my-org/our-repo" repo:"my-org/another-repo" 查找 my-org 组织中 our-repoanother-repo 存储库发生的所有事件。
  • -repo:"my-org/not-this-repo" 排除 my-org 组织中 not-this-repo 存储库发生的所有事件。

请注意,repo 限定符中必须包含帐户名,并将其放在引号中,或使用 \ 转义 /;仅搜索 repo:our-reporepo:my-org/our-repo 无效。

基于角色搜索

actor限定符可以根据执行作的人员或代理来限定事件范围。 举例来说:

  •           `actor:octocat` 查找 `octocat` 执行的所有事件。
    
  •           `actor:octocat actor:Copilot` 查找 `octocat` 或 `Copilot` 执行的所有事件。
    
  •           `-actor:Copilot` 排除 `Copilot` 执行的所有事件。
    

请注意,只能使用 GitHub 用户名,而不是个人的真实姓名。

基于执行的操作搜索

若要搜索特定事件,请在查询中使用 action 限定符。 举例来说:

  • action:team 查找分组在团队类别中的所有事件。
  • -action:hook 排除 Webhook 类别中的所有事件。

每个类别都有一组可进行过滤的关联操作。 举例来说:

  • action:team.create 查找创建团队的所有事件。
  • -action:hook.events_changed 排除已更改 Webhook 上事件的所有事件。

可在企业审核日志中找到的操作按以下类别分组:

类别名称说明
artifact包含与 GitHub Actions 工作流运行工件相关的活动。
audit_log_streaming包含与企业账户中各组织的审核日志流式传输相关的活动。
business包含与企业的业务设置相关的活动。
business_advanced_security包含企业中与 Advanced Security 相关的活动。
business_secret_scanning包含企业中与 secret scanning 相关的活动。
business_secret_scanning_automatic_validity_checks包含与在企业中启用或禁用 secret scanning 的自动有效性验证相关的活动。
business_secret_scanning_custom_pattern包含与企业内 secret scanning 的自定义模式相关的活动。
business_secret_scanning_custom_pattern_push_protection包含与企业中的 secret scanning 自定义模式推送保护相关的活动。 有关详细信息,请参阅“为机密扫描定义自定义模式”。
business_secret_scanning_push_protection包含与企业内 secret scanning 的推送保护功能相关的活动。
business_secret_scanning_push_protection_custom_message包含与在企业中触发推送保护时显示的自定义消息相关的活动。
checks包含与检查套件和运行相关的活动。
commit_comment包含与更新或删除提交评论相关的活动。
config_entry包含与配置设置相关的活动。 这些事件仅在站点管理员审核日志中可见。
dependabot_alerts包含现有仓库中针对 Dependabot alerts 的组织级配置活动。 有关详细信息,请参阅“Dependabot 警报”。
dependabot_alerts_new_repos包含针对组织内新建存储库中 Dependabot alerts 的组织级配置操作。
dependabot_repository_access包含与 Dependabot 被允许访问某个组织中的哪些私有仓库相关的活动。
dependabot_security_updates包含现有仓库中针对 Dependabot security updates 的组织级配置活动。 有关详细信息,请参阅“配置 Dependabot 安全更新”。
dependabot_security_updates_new_repos包含针对 Dependabot security updates 的组织级配置活动,这些活动适用于在该组织中创建的新仓库。
dependency_graph包含针对存储库依赖关系图的组织级配置活动。 有关详细信息,请参阅“依赖项关系图”。
dependency_graph_new_repos包含在组织中创建的新存储库的组织级配置活动。
dotcom_connection包含与 GitHub Connect 相关的活动。
enterprise包含与企业设置相关的活动。
hook包含与 Webhook 相关的活动。
integration包含与帐户中的集成相关的活动。
integration_installation包含与帐户中安装的集成相关的活动。
integration_installation_request包含与组织成员请求所有者批准在组织中使用集成相关的活动。
issue包含与固定、转移或删除存储库中问题相关的活动。
issue_comment包含与固定、移动或删除议题评论相关的活动。
issues包含与针对组织启用或禁用创建问题功能相关的活动。
members_can_create_pages包含与管理组织中存储库站点的发布 GitHub Pages 相关的活动。 有关详细信息,请参阅“管理组织的 GitHub Pages 站点发布”。
members_can_create_private_pages包含与管理组织中各存储库的私有 GitHub Pages 站点发布相关的活动。
members_can_create_public_pages包含与管理组织内存储库的公开 GitHub Pages 站点发布有关的活动。
members_can_delete_repos包含与为组织启用或禁用存储库创建相关的活动。
oauth_access包含与 OAuth 访问令牌相关的活动。
oauth_application包含与OAuth apps相关的活动。
org包含与组织会员资格相关的活动。
org_credential_authorization包含与授权用于 SAML 单点登录的凭据相关的活动。
org_secret_scanning_automatic_validity_checks包含与在组织内启用或禁用 secret scanning 的自动有效性检查相关的活动。 有关详细信息,请参阅“管理组织的安全和分析设置”。
org_secret_scanning_custom_pattern包含组织中与针对 secret scanning 的自定义模式相关的活动。 有关详细信息,请参阅“为机密扫描定义自定义模式”。
organization_default_label包含与组织中存储库的默认标签相关的活动。
organization_domain包含与已验证组织域相关的活动。
organization_projects_change包含企业范围内与项目相关的活动。
pre_receive_environment包含与预接收钩子环境相关的活动。
pre_receive_hook包含与预接收钩子相关的活动。
private_instance_encryption包括与为企业启用私有模式相关的操作。
private_repository_forking包含与允许存储库、组织或企业的专用和内部存储库分支相关的活动。
project包含与项目相关的活动。
project_field包含与项目中的字段创建和删除相关的活动。
project_view包含与项目中的视图创建和删除相关的活动。
protected_branch包含与受保护分支相关的活动。
public_key包含与 SSH 密钥和部署密钥相关的活动。
pull_request包含与拉取请求相关的活动。
pull_request_review包含与拉取请求评审相关的活动。
pull_request_review_comment包含与拉取请求审查评论相关的活动。
repo包含与组织拥有的存储库相关的活动。
repository_image包含与存储库映像相关的活动。
repository_invitation包含与邀请加入存储库相关的活动。
repository_projects_change包含与为存储库或组织中的所有存储库启用项目相关的活动。
repository_secret_scanning包含与 secret scanning 相关的存储库级活动。 有关详细信息,请参阅“秘密扫描”。
repository_secret_scanning_automatic_validity_checks包含与在存储库中启用或禁用 secret scanning 的自动有效性检查相关的活动。 有关详细信息,请参阅“为存储库启用机密扫描”。
repository_secret_scanning_custom_pattern包含与 secret scanning 存储库中的自定义模式相关的活动。 有关详细信息,请参阅“为机密扫描定义自定义模式”。
repository_secret_scanning_custom_pattern_push_protection包含与存储库中针对 secret scanning 的自定义模式推送保护相关的活动。 有关详细信息,请参阅“为机密扫描定义自定义模式”。
repository_secret_scanning_push_protection包含与存储库中的推送保护功能 secret scanning 相关的活动。 有关详细信息,请参阅“推送保护”。
repository_vulnerability_alert包含与 Dependabot alerts相关的活动。
restrict_notification_delivery包含与将电子邮件通知限制为仅向企业已批准或已验证的域发送相关的活动。
role包含与自定义存储库角色相关的活动。
secret_scanning包含现有仓库中针对 secret scanning 的组织级配置活动。 有关详细信息,请参阅“秘密扫描”。
secret_scanning_new_repos包含针对 secret scanning 的组织级配置活动,这些活动适用于在该组织中创建的新仓库。
security_key包含与安全密钥注册和删除相关的活动。
ssh_certificate_authority包含与组织或企业中的 SSH 证书颁发机构相关的活动。
ssh_certificate_requirement包含与要求成员使用 SSH 证书访问组织资源相关的活动。
staff包含与站点管理员执行某项操作相关的活动。
team包含与组织中的团队相关的活动。
two_factor_authentication包含与双因素身份验证相关的活动。
user包含与企业或组织中的用户相关的活动。
user_license包含与用户在企业中占用一个授权并成为该企业成员相关的活动。
workflows包含与 GitHub Actions 工作流相关的活动。

基于操作时间搜索

使用 created 限定符可以根据事件发生的时间筛选审核日志中的事件。

日期格式必须遵循 ISO8601 标准,即 YYYY-MM-DD(年-月-日)。 也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以按小时、分钟和秒进行搜索。 即 T,随后是 HH:MM:SS(时-分-秒)和 UTC 时差 (+00:00)。

搜索日期时,可以使用大于、小于和范围限定符来进一步筛选结果。 有关详细信息,请参阅“了解搜索语法”。

举例来说:

  • created:2014-07-08 查找 2014 年 7 月 8 日发生的所有事件。
  • created:>=2014-07-08 查找 2014 年 7 月 8 日当天或之后发生的所有事件。
  • created:<=2014-07-08 查找 2014 年 7 月 8 日当天或之前发生的所有事件。
  • created:2014-07-01..2014-07-31 查找 2014 年 7 月发生的所有事件。

基于位置搜索

使用限定符 country,可以根据原始国家/地区筛选审核日志中的事件。 你可以使用国家/地区的两字母短代码或完整名称。 名称中包含空格的国家/地区需要加引号。 举例来说:

  • country:de 查找在德国发生的所有事件。
  • country:Mexico 查找在墨西哥发生的所有事件。
  • country:"United States" 查找全发生在美国的事件。

根据执行操作的令牌进行搜索

使用 hashed_token 限定符根据执行操作的令牌进行搜索。 必须先生成 SHA-256 哈希,然后才能搜索令牌。 有关详细信息,请参阅“标识由访问令牌执行的审核日志事件”。