Skip to main content

Cette version de GitHub Enterprise Server ne sera plus disponible le 2026-08-25. Les versions abandonnées ne sont pas prises en charge. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités dans GitHub Enterprise Server, consultez Overview du processus de mise à niveau. Pour obtenir de l’aide sur la mise à niveau, GitHub Support Entreprise.

Recherche dans le journal d’audit de votre entreprise

Vous pouvez effectuer des recherches dans une liste complète des actions auditées dans votre entreprise.

Qui peut utiliser cette fonctionnalité ?

Enterprise owners and site administrators can search the audit log.

À propos de la recherche dans le journal d’audit d’une entreprise

Vous pouvez effectuer une recherche dans le journal d’audit de votre entreprise directement à partir de l’interface utilisateur à l’aide de la liste déroulante Filtres ou en tapant une requête de recherche.

Pour plus d’informations sur la consultation du journal d’audit de votre entreprise, consultez Accès au journal d’audit de votre entreprise.

Remarque

Les événements Git ne sont pas inclus dans les résultats de recherche.

Vous pouvez également utiliser l’API pour récupérer les événements du journal d’audit. Pour plus d’informations, consultez « Utilisation de l’API de journal d’audit pour votre entreprise ».

Vous ne pouvez pas rechercher d’entrées avec du texte. Toutefois, vous pouvez construire des requêtes de recherche à l’aide d’une variété de filtres. De nombreux opérateurs utilisés pour l’interrogation du journal, par exemple -, > ou <, ont le même format que pour la recherche dans GitHub. Pour plus d’informations, consultez « À propos de la recherche sur GitHub ».

Remarque

Le journal d’audit liste les événements déclenchés par les activités qui affectent votre entreprise. Les journaux d’audit pour GitHub sont conservés indéfiniment, sauf si un propriétaire d’entreprise a configuré une période de rétention différente. Consultez Configuration du journal d’audit de votre entreprise.

Par défaut, seuls les événements des trois derniers mois sont affichés. Pour voir les événements plus anciens, vous devez spécifier une plage de dates avec le paramètre created. Consultez Compréhension de la syntaxe de recherche.

Filtres de requête de recherche

FiltrerDescription
Yesterday's activityToutes les actions créées au cours du dernier jour
Enterprise account managementToutes les actions de la catégorie business
Organization membershipToutes les actions pour lesquelles un nouvel utilisateur a été invité à rejoindre une organisation
Team managementToutes les actions liées à la gestion d’équipe
- Quand un compte d’utilisateur ou un dépôt a été ajouté à une équipe ou supprimé d’une équipe
- Quand un responsable d’équipe a été promu ou rétrogradé
- Quand une équipe a été supprimée
Repository managementToutes les actions liées à la gestion des dépôts
- Quand un dépôt a été créé ou supprimé
- Quand la visibilité d’un dépôt a été modifiée
- Quand une équipe a été ajoutée à un dépôt ou supprimée d’un référentiel
Hook activityToutes les actions liées aux webhooks et hooks de pré-réception
Security managementToutes les actions concernant des clés SSH, des clés de déploiement, des clés de sécurité, l’autorisation d’informations d’identification pour l’authentification à 2 facteurs et l’authentification unique SAML et les alertes de vulnérabilité pour les dépôts

Syntaxe des requêtes de recherche

Vous pouvez composer une demande de recherche à partir d'une ou plusieurs paires key:value. Par exemple, pour voir toutes les actions qui ont affecté le dépôt octocat/Spoon-Knife depuis début 2017 :

repo:"octocat/Spoon-Knife" created:>=2017-01-01

Les paires key:value qui peuvent être utilisées dans une requête de recherche sont les suivantes :

CléValeur
actionNom de l’action auditée.
actorNom du compte qui a lancé l’action.
actor_idID du compte d’utilisateur qui a initié l’action.
actor_ipAdresse IP à partir de laquelle l’action a été initiée.
businessNom de l’entreprise affectée par l’action (le cas échéant).
business_idID de l’entreprise affectée par l’action (le cas échéant).
createdHeure à laquelle l’action s’est produite. Si vous interrogez le journal d’audit à partir du tableau de bord administrateur du site, utilisez plutôt created_at.
countryNom du pays où l’acteur se trouvait lorsqu’il a effectué l’action.
country_codeCode court à deux lettres du pays où l’acteur se trouvait lors de l’exécution de l’action.
fromVue à partir de laquelle l’action a été initiée.
hashed_tokenLe jeton utilisé pour l’authentification de l'action (le cas échéant, consultez Identification des événements du journal d’audit effectués par un jeton d’accès).
ipAdresse IP de l’acteur.
noteInformations diverses spécifiques aux événements (en texte brut ou au format JSON).
oauth_app_idID des données OAuth app associées à l’action.
operationType d’opération correspondant à l’action. Les types d’opération sont create, access, modify, remove, authentication, transfer et restore
orgNom de l’organisation affectée par l’action (le cas échéant).
org_idID de l’organisation affectée par l’action (le cas échéant).
repo_idID du référentiel affecté par l’action (le cas échéant).
repositoryNom et propriétaire du référentiel dans lequel l’action s’est produite (par exemple, "octocat/octo-repo").
user_idID de l’utilisateur affecté par l’action.
userNom de l’utilisateur affecté par l’action. Si l’action a été effectuée par un agent, ce champ contient le nom de l’utilisateur pour lequel l’agent a agi.

Pour voir les actions regroupées par catégorie, vous pouvez également utiliser le qualificateur d’action comme paire key:value. Pour plus d’informations, consultez Recherche basée sur l’action effectuée.

Pour obtenir la liste complète des actions dans le journal d’audit de votre entreprise, consultez Événements du journal d’audit pour votre entreprise.

Recherche dans le journal d’audit

Recherche basée sur l’opération

Utilisez le qualificateur operation pour limiter les actions à des types d’opérations spécifiques. Par exemple :

  • operation:access recherche tous les événements au cours desquels une ressource a été utilisée.
  • operation:authentication recherche tous les événements au cours desquels un événement d’authentification a eu lieu.
  • operation:create recherche tous les événements au cours desquels une ressource a été créée.
  • operation:modify recherche tous les événements au cours desquels une ressource existante a été modifiée.
  • operation:remove recherche tous les événements au cours desquels une ressource existante a été supprimée.
  • operation:restore recherche tous les événements au cours desquels une ressource existante a été restaurée.
  • operation:transfer recherche tous les événements au cours desquels une ressource existante a été transférée.

Recherche en fonction du dépôt

Utilisez le qualificateur repo pour limiter les actions à un dépôt spécifique. Par exemple :

  • repo:"my-org/our-repo" recherche tous les événements qui se sont produits pour le dépôt our-repo dans l’organisation my-org.
  • repo:"my-org/our-repo" repo:"my-org/another-repo" recherche tous les événements qui se sont produits pour les dépôts our-repo et another-repo dans l’organisation my-org.
  • -repo:"my-org/not-this-repo" exclut tous les événements qui se sont produits pour le dépôt not-this-repo dans l’organisation my-org.

Notez que vous devez inclure le nom de compte dans le qualificateur repo et le placer entre guillemets ou échapper le / l’aide d’un \ ; la recherche de repo:our-repo ou repo:my-org/our-repo uniquement ne fonctionnera pas.

Rechercher en fonction de l’acteur

Le actor qualificateur peut étendre les événements en fonction de la personne ou de l’agent qui a effectué l’action. Par exemple :

  • actor:octocat recherche tous les événements effectués par octocat.
  • actor:octocat actor:Copilot recherche tous les événements effectués par octocat ou Copilot.
  • -actor:Copilot exclut tous les événements effectués par Copilot.

Notez que vous pouvez uniquement utiliser un nom d’utilisateur GitHub, et non le nom réel d’une personne.

Recherche basée sur l’action effectuée

Pour rechercher des événements spécifiques, utilisez le qualificateur action dans votre requête. Voici un exemple :

  • action:team recherche tous les événements regroupés dans la catégorie d'équipe.
  • -action:hook exclut tous les événements de la catégorie webhook.

Chaque catégorie a un ensemble d’actions associées sur lesquelles vous pouvez filtrer. Voici un exemple :

  • action:team.create recherche tous les événements ayant impliqué la création d’une équipe.
  • -action:hook.events_changed exclut tous les événements ayant impliqué la modification des événements sur un webhook.

Les actions figurant dans le journal d’audit de votre entreprise sont regroupées dans les catégories suivantes :

Nom de la catégorieDescription
artifactContient des activités liées aux artefacts d’exécution de flux de travail GitHub Actions.
audit_log_streamingContient des activités liées à la diffusion en continu des journaux d’audit pour les organisations au sein d’un compte d’entreprise.
businessContient des activités liées aux paramètres métier d’une entreprise.
business_advanced_securityContient des activités liées à Advanced Security dans une entreprise.
business_secret_scanningContient des activités liées à secret scanning dans une entreprise.
business_secret_scanning_automatic_validity_checksContient des activités liées à l’activation ou à la désactivation des contrôles automatiques de validité pour secret scanning dans une entreprise.
business_secret_scanning_custom_patternContient des activités liées aux modèles personnalisés pour secret scanning dans une entreprise.
business_secret_scanning_custom_pattern_push_protectionContient des activités liées à la protection push d’un modèle personnalisé pour secret scanning une entreprise. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».
business_secret_scanning_push_protectionContient des activités liées à la fonctionnalité de protection contre les pushs de secret scanning dans une entreprise.
business_secret_scanning_push_protection_custom_messageContient les activités relatives au message personnalisé affiché lorsque la protection contre les pushs est déclenchée dans une entreprise.
checksContient des activités liées aux suites de vérification et aux exécutions de vérification.
commit_commentContient des activités liées à la mise à jour ou à la suppression des commentaires de validation.
config_entryContient des activités liées aux paramètres de configuration. Ces événements sont visibles uniquement dans le journal d'audit de l'administrateur de site.
dependabot_alertsContient des activités de configuration au niveau de l’organisation pour Dependabot alerts dans les dépôts existants. Pour plus d’informations, consultez « Alertes Dependabot ».
dependabot_alerts_new_reposContient les activités de configuration au niveau de l’organisation pour Dependabot alerts dans les nouveaux dépôts créés au sein de l’organisation.
dependabot_repository_accessContient les activités liées aux dépôts privés d’une organisation auxquels Dependabot est autorisé à accéder.
dependabot_security_updatesContient des activités de configuration au niveau de l’organisation pour Dependabot security updates dans les dépôts existants. Pour plus d’informations, consultez « Configuration des mises à jour de sécurité Dependabot ».
dependabot_security_updates_new_reposContient les activités de configuration au niveau de l’organisation pour Dependabot security updates les nouveaux dépôts créés dans l’organisation.
dependency_graphContient des activités de configuration au niveau de l’organisation pour les graphes des dépendances des référentiels. Pour plus d’informations, consultez « Graphe de dépendances ».
dependency_graph_new_reposContient des activités de configuration au niveau de l’organisation pour les nouveaux référentiels créés dans l’organisation.
dotcom_connectionContient des activités liées à GitHub Connect.
enterpriseContient des activités liées aux paramètres d’entreprise.
hookContient les activités liées aux webhooks.
integrationContient des activités liées aux intégrations dans un compte.
integration_installationContient des activités liées aux intégrations installées dans un compte.
integration_installation_requestContient des activités relatives aux demandes des membres de l'organisation visant à faire approuver par les propriétaires des intégrations destinées à être utilisées au sein de l'organisation.
issueContient des activités liées à l'épinglage, au transfert ou à la suppression d'un problème dans un référentiel.
issue_commentContient des activités liées à l'épinglage, au transfert ou à la suppression des commentaires de problème.
issuesContient des activités liées à l'activation ou à la désactivation de la création de problèmes pour une organisation.
members_can_create_pagesComprend les activités liées à la gestion de la publication de sites GitHub Pages pour les dépôts au sein de l’organisation. Pour plus d’informations, consultez « Gestion de la publication de sites GitHub Pages pour votre organisation ».
members_can_create_private_pagesContient des activités liées à la gestion de la publication de sites privés GitHub Pages pour les référentiels de l’organisation.
members_can_create_public_pagesComprend des activités liées à la gestion de la publication de sites publics GitHub Pages pour les dépôts au sein de l’organisation.
members_can_delete_reposContient des activités liées à l’activation ou à la désactivation de la création de référentiels pour une organisation.
oauth_accessContient les activités liées aux jetons d’accès OAuth.
oauth_applicationContient des activités liées à OAuth apps.
orgContient des activités liées à l’abonnement à l’organisation.
org_credential_authorizationContient les activités liées à l’autorisation des identifiants pour l’authentification unique SAML.
org_secret_scanning_automatic_validity_checksContient des activités liées à l’activation ou à la désactivation des vérifications automatiques de validité pour secret scanning dans une organisation. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d'analyse pour votre organisation ».
org_secret_scanning_custom_patternContient des activités concernant des modèles personnalisés pour secret scanning dans une organisation. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».
organization_default_labelContient des activités concernant les étiquettes par défaut des dépôts d'une organisation.
organization_domainContient des activités liées aux domaines d’organisation vérifiés.
organization_projects_changeComprend des activités liées à projets à l’échelle de l’organisation au sein d’une entreprise.
pre_receive_environmentContient des activités liées aux environnements de hook de pré-réception.
pre_receive_hookContient des activités associées aux scripts hook de pré-réception.
private_instance_encryptionContient des activités liées à l'activation du mode privé pour une entreprise.
private_repository_forkingContient des activités liées à l'autorisation des duplications (forks) de référentiels privés et internes, pour un référentiel, une organisation ou une entreprise.
projectContient des activités liées aux projets.
project_fieldContient des activités liées à la création et à la suppression de champs dans un projet.
project_viewContient des activités liées à la création et à la suppression d'affichages dans un projet.
protected_branchContient des activités liées aux branches protégées.
public_keyContient des activités liées aux clés SSH et aux clés de déploiement.
pull_requestContient des activités liées aux pull requests.
pull_request_reviewContient des activités liées aux revues de pull requests.
pull_request_review_commentContient des activités liées aux commentaires de révision des pull requests.
repoContient des activités liées aux dépôts appartenant à une organisation.
repository_imageContient des activités liées aux images d'un référentiel.
repository_invitationContient des activités liées aux invitations à rejoindre un référentiel.
repository_projects_changeContient des activités liées à l'activation de projets pour un référentiel ou pour tous les référentiels d'une organisation.
repository_secret_scanningContient des activités au niveau du référentiel liées à secret scanning. Pour plus d’informations, consultez « Analyse de secrets ».
repository_secret_scanning_automatic_validity_checksContient des activités liées à l’activation ou à la désactivation des vérifications automatiques de validité pour secret scanning dans un référentiel. Pour plus d’informations, consultez « Activation de l’analyse des secrets pour votre dépôt ».
repository_secret_scanning_custom_patternContient des activités liées aux secret scanning modèles personnalisés dans un référentiel. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».
repository_secret_scanning_custom_pattern_push_protectionContient des activités liées à la protection push d’un modèle personnalisé dans secret scanning un référentiel. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».
repository_secret_scanning_push_protectionContient des activités liées à la fonctionnalité de protection contre les pushes de secret scanning dans un dépôt. Pour plus d’informations, consultez « Protection contre les notifications push ».
repository_vulnerability_alertContient des activités liées à Dependabot alerts.
restrict_notification_deliveryContient des activités liées à la restriction des notifications par e-mail aux domaines approuvés ou vérifiés pour une entreprise.
roleContient les activités liées aux rôles personnalisés du référentiel.
secret_scanningContient des activités de configuration au niveau de l’organisation pour secret scanning dans les dépôts existants. Pour plus d’informations, consultez « Analyse de secrets ».
secret_scanning_new_reposContient les activités de configuration au niveau de l’organisation pour secret scanning les nouveaux dépôts créés dans l’organisation.
security_keyContient des activités liées à l’inscription et à la suppression des clés de sécurité.
ssh_certificate_authorityContient des activités liées à une autorité de certification SSH dans une organisation ou une entreprise.
ssh_certificate_requirementContient des activités liées à l'obligation pour les membres d'utiliser des certificats SSH pour accéder aux ressources de l'organisation.
staffContient des activités liées à un administrateur de site effectuant une action.
teamContient des activités liées aux équipes d’une organisation.
two_factor_authenticationContient les activités liées à l’authentification à 2 facteurs.
userContient des activités liées aux utilisateurs d'une organisation ou entreprise.
user_licenseContient des activités liées à un utilisateur occupant un poste sous au sein d’une entreprise et en étant membre.
workflowsContient des activités liées aux GitHub Actions flux de travail.

Recherche basée sur l’heure de l’action

Utilisez le qualificateur created pour filtrer les événements du journal d’audit en fonction du moment où ils se sont produits.

La mise en forme de la date doit respecter la norme ISO8601, à savoir YYYY-MM-DD (année, mois, jour). Vous pouvez également ajouter des informations facultatives d’heure THH:MM:SS+00:00 après la date, pour rechercher par heure, minute et seconde. Il s’agit de T, suivi de HH:MM:SS (heures-minutes-secondes) et d’un décalage UTC (+00:00).

Lorsque vous recherchez une date, vous pouvez utiliser des qualificateurs supérieur à, inférieur à et de plage pour filtrer davantage les résultats. Pour plus d’informations, consultez « Compréhension de la syntaxe de recherche ».

Voici un exemple :

  • created:2014-07-08 recherche tous les événements qui se sont produits le 8 juillet 2014.
  • created:>=2014-07-08 recherche tous les événements qui se sont produits le 8 juillet 2014 ou après cette date.
  • created:<=2014-07-08 recherche tous les événements qui se sont produits le 8 juillet 2014 ou avant cette date.
  • created:2014-07-01..2014-07-31 recherche tous les événements qui se sont produits en juillet 2014.

Rechercher basée sur l’emplacement

À l’aide du qualificateur country, vous pouvez filtrer les événements du journal d’audit en fonction du pays d’origine. Vous pouvez utiliser le code court à deux lettres ou le nom complet d’un pays. Les pays dont le nom contient des espaces doivent être placés entre guillemets. Voici un exemple :

  • country:de recherche tous les événements qui se sont produits en Allemagne.
  • country:Mexico recherche tous les événements qui se sont produits au Mexique.
  • country:"United States" recherche tous les événements qui se sont produits aux États-Unis.

Recherche en fonction du jeton qui a effectué l’action

Utilisez le qualificateur hashed_token pour effectuer une recherche en fonction du jeton qui a effectué l’action. Avant de pouvoir rechercher un jeton, vous devez générer un hachage SHA-256. Pour plus d’informations, consultez « Identification des événements du journal d’audit effectués par un jeton d’accès ».