Informationen zur Suche beim Überwachungsprotokoll für dein Unternehmen
Du kannst das Überwachungsprotokoll für dein Unternehmens direkt über die Benutzeroberfläche mithilfe der Dropdownliste Filter oder durch Eingabe einer Suchabfrage durchsuchen.
Weitere Informationen zum Anzeigen der Überwachungsprotokolle für dein Unternehmen findest du unter Zugreifen auf das Überwachungsprotokoll für dein Unternehmen.
Hinweis: Git-Ereignisse sind nicht in Suchergebnissen enthalten.
Außerdem kannst du mithilfe der API Überwachungsprotokollereignisse abrufen. Weitere Informationen findest du unter Verwenden der Überwachungsprotokoll-API für dein Unternehmen.
Du kannst nicht mit Text nach Einträgen suchen. Du kannst jedoch Suchabfragen mit den verschiedensten Filtern erstellen. Viele Operatoren, die beim Abfragen des Protokolls verwendet werden, z. B. -, > oder <, entsprechen demselben Format wie beim Durchsuchen von GitHub Enterprise Cloud. Weitere Informationen findest du unter Informationen zur Suche auf GitHub.
Hinweis: Im Überwachungsprotokoll werden Ereignisse aufgelistet, die durch Aktivitäten ausgelöst werden, die sich auf dein Unternehmen auswirken innerhalb der letzten 180 Tage. Das Überwachungsprotokoll behält Git-Ereignisse sieben Tage lang bei.
Standardmäßig werden nur Ereignisse aus den letzten drei Monaten angezeigt. Um ältere Ereignisse anzuzeigen, musst du einen Datumsbereich mit dem created-Parameter angeben. Weitere Informationen finden Sie unter „Grundlagen der Suchsyntax“.
Suchabfragefilter
| Filtern | BESCHREIBUNG |
|---|---|
Yesterday's activity | Alle Aktionen, die am letzten Tag erstellt wurden |
Enterprise account management | Alle Aktionen in der Kategorie business |
Organization membership | Alle Aktionen für den Zeitpunkt, an dem ein neuer Benutzer zum Beitritt zu einer Organisation eingeladen wurde |
Team management | Alle Aktionen im Zusammenhang mit der Teamverwaltung – Wenn ein Benutzerkonto oder Repository einem Team hinzugefügt oder daraus entfernt wurde – Wenn ein Teambetreuer höhergestuft oder herabgestuft wurde – Wenn ein Team gelöscht wurde |
Repository management | Alle Aktionen für die Repositoryverwaltung – Wenn ein Repository erstellt oder gelöscht wurde – Wenn die Sichtbarkeit des Repositorys geändert wurde – Wenn ein Team zu einem Repository hinzugefügt oder daraus entfernt wurde |
Billing updates | Alle Aktionen in Bezug darauf, wie das Unternehmen für GitHub bezahlt und wann die E-Mail-Adresse für die Abrechnung geändert wurde. |
Hook activity | Alle Aktionen für Webhooks und Pre-Receive-Hooks |
Security management | Alle Aktionen in Bezug auf SSH-Schlüssel, Bereitstellungsschlüssel, Sicherheitsschlüssel, Zweistufige Authentifizierung (2FA) und Autorisierung von SAML Single Sign-On (SSO)-Anmeldeinformationen sowie Sicherheitsrisikowarnungen für Repositorys |
Suchabfragesyntax
Du kannst eine Suchabfrage aus einem oder mehreren key:value-Paaren erstellen. So kannst du beispielsweise alle Aktionen anzeigen, die sich seit Anfang 2017 auf das Repository octocat/Spoon-Knife ausgewirkt haben:
repo:"octocat/Spoon-Knife" created:>=2017-01-01
Die folgenden key:value-Paare können in einer Suchabfrage verwendet werden:
| Schlüssel | Wert |
|---|---|
action | Name der überwachten Aktion |
actor | Name des Benutzerkontos, mit dem die Aktion initiiert wurde |
created | Zeitpunkt, zu dem die Aktion erfolgt ist. |
country | Name des Landes, in dem sich der Akteur bei der Ausführung der Aktion befand. |
country_code | Kurzcode aus zwei Buchstaben des Landes, in dem sich der Akteur bei der Ausführung der Aktion befand. |
hashed_token | Das zur Authentifizierung für die Aktion verwendete Token (falls zutreffend, siehe „Identifizieren von Überwachungsprotokollereignissen, die von einem Zugriffstoken ausgeführt werden“). |
ip | IP-Adresse des Akteurs. |
operation | Der der Aktion entsprechende Vorgangstyp. Vorgangstypen sind create, access, modify, remove, authentication, transfer und restore. |
repository | Name und Besitzer des Repositorys, in dem die Aktion erfolgt ist (z. B. octocat/octo-repo). |
user | Name des von der Aktion betroffenen Benutzers. |
Wenn du Aktionen nach Kategorie gruppiert anzeigen möchtest, kannst du auch den Aktionsqualifizierer als key:value-Paar verwenden. Weitere Informationen findest du unter „Suchen basierend auf der ausgeführten Aktion“.
Eine vollständige Liste der Aktionen im Überwachungsprotokoll deines Unternehmens findest du unter Überwachungsprotokollereignisse für Ihre Enterprise.
Auditprotokoll durchsuchen
Vorgangsbasierte Suche
Verwende den Qualifizierer operation, um Aktionen für spezifische Typen von Vorgängen zu beschränken. Beispiel:
operation:accessfindet alle Ereignisse, bei denen auf eine Ressource zugegriffen wurde.operation:authenticationfindet alle Ereignisse, bei denen ein Authentifizierungsereignis ausgeführt wurde.operation:createfindet alle Ereignisse, bei denen eine Ressource erstellt wurde.operation:modifyfindet alle Ereignisse, bei denen eine vorhandene Ressource geändert wurde.operation:removefindet alle Ereignisse, bei denen eine vorhandene Ressource entfernt wurde.operation:restorefindet alle Ereignisse, bei denen eine vorhandene Ressource wiederhergestellt wurde.operation:transferfindet alle Ereignisse, bei denen eine vorhandene Ressource übertragen wurde.
Suche basierend auf Repository
Verwende den Qualifizierer repo, um Aktionen auf ein spezifisches Repository zu beschränken. Zum Beispiel:
repo:my-org/our-reposucht alle Ereignisse, die für dasour-repo-Repository in dermy-org-Organisation aufgetreten sind.repo:my-org/our-repo repo:my-org/another-reposucht alle Ereignisse, die für dieour-repo- undanother-repo-Repositorys in dermy-org-Organisation aufgetreten sind.-repo:my-org/not-this-reposchließt alle Ereignisse aus, die für dasnot-this-repo-Repository in dermy-org-Organisation aufgetreten sind.
Sie müssen den Namen Ihrer Organisation in den repo-Qualifizierer einschließen. Es ist nicht möglich, nur nach repo:our-repo zu suchen.
Suche nach Benutzer
Der actor-Qualifizierer kann den Umfang von Ereignissen basierend auf dem Ausführenden der Aktion festlegen. Beispiel:
actor:octocatfindet alle Ereignisse, die vonoctocatdurchgeführt wurden.actor:octocat actor:hubotfindet alle Ereignisse, die vonoctocatoderhubotdurchgeführt wurden.-actor:hubotschließt alle Ereignisse aus, die vonhubotdurchgeführt wurden.
Beachte, dass du nur den in GitHub Enterprise Cloud verwendeten Benutzernamen nutzen kannst, nicht den wirklichen Namen eines Benutzers.
Suche nach der Art der durchgeführten Aktion
Verwende für die Suche nach bestimmten Ereignissen in deiner Abfrage den Qualifizierer action. Beispiel:
action:teamsucht alle Ereignisse, die in der Teamkategorie gruppiert sind.-action:hookschließt alle Ereignisse in der Webhookkategorie aus.
Bei jeder Kategorie gibt es eine Gruppe von zugeordneten Aktionen, nach denen du filtern kannst. Beispiel:
action:team.createsucht alle Ereignisse, bei denen ein Team erstellt wurde.-action:hook.events_changedschließt alle Ereignisse aus, bei denen die Ereignisse in einem Webhook geändert wurden.
Aktionen, die im Überwachungsprotokoll deines Unternehmens zu finden sind, werden in die folgenden Kategorien gruppiert:
| Kategoriename | BESCHREIBUNG
|------------------|------------------- | account | Enthält Aktivitäten im Zusammenhang mit einem Organisationskonto.
| advisory_credit | Enthält Aktivitäten im Zusammenhang mit Angaben dazu, von welchen Mitwirkenden Inhalte für Sicherheitsempfehlungen in der GitHub Advisory Database stammen. Weitere Informationen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys. | artifact | Enthält Aktivitäten im Zusammenhang mit GitHub Actions-Artefakten für Workflowausführungen. | audit_log_streaming | Enthält Aktivitäten im Zusammenhang mit Streamingüberwachungsprotokollen für Organisationen in einem Unternehmenskonto. | billing | Enthält Aktivitäten im Zusammenhang mit der Abrechnung einer Organisation. | business | Enthält Aktivitäten im Zusammenhang mit Geschäftseinstellungen für ein Unternehmen. | business_advanced_security | Enthält Aktivitäten im Zusammenhang mit GitHub Advanced Security in einem Unternehmen. Weitere Informationen findest du unter Verwalten von GitHub Advanced Security-Features für dein Unternehmen.
| business_secret_scanning | Enthält Aktivitäten im Zusammenhang mit secret scanning in einem Unternehmen. Weitere Informationen findest du unter Verwalten von GitHub Advanced Security-Features für dein Unternehmen. | business_secret_scanning_automatic_validity_checks | Enthält Aktivitäten im Zusammenhang mit dem Aktivieren oder Deaktivieren der automatischen Gültigkeitsprüfung für secret scanning in einem Unternehmen. Weitere Informationen findest du unter Verwalten von GitHub Advanced Security-Features für dein Unternehmen. | business_secret_scanning_custom_pattern | Enthält Aktivitäten im Zusammenhang mit benutzerdefinierten Mustern zur secret scanning in einem Unternehmen. | business_secret_scanning_custom_pattern_push_protection | Enthält Aktivitäten im Zusammenhang mit dem Pushschutz eines benutzerdefinierten Musters für die secret scanning in einem Unternehmen. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung. | business_secret_scanning_push_protection | Enthält Aktivitäten im Zusammenhang mit dem Pushschutzfeature von secret scanning in einem Unternehmen. Weitere Informationen findest du unter Verwalten von GitHub Advanced Security-Features für dein Unternehmen.
| business_secret_scanning_push_protection_custom_message| Enthält Aktivitäten im Zusammenhang mit der benutzerdefinierten Nachricht, die angezeigt wird, wenn der Pushschutz in einem Unternehmen ausgelöst wird. Weitere Informationen findest du unter Verwalten von GitHub Advanced Security-Features für dein Unternehmen. | checks | Enthält Aktivitäten im Zusammenhang mit Überprüfungssammlungen und -ausführungen. | codespaces | Enthält Aktivitäten im Zusammenhang mit den Codespaces einer Organisation. | commit_comment | Enthält Aktivitäten im Zusammenhang mit dem Aktualisieren oder Löschen von Commitkommentaren. | dependabot_alerts | Umfasst Konfigurationsaktivitäten auf Organisationsebene für Dependabot alerts in vorhandenen Repositorys Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen.
| dependabot_alerts_new_repos | Enthält Konfigurationsaktivitäten auf Organisationsebene für Dependabot alerts in neuen Repositorys, die in der Organisation erstellt wurden.
| dependabot_repository_access | Enthält Aktivitäten im Zusammenhang mit den privaten Repositorys in einer Organisation, auf die Dependabot zugreifen darf.
| dependabot_security_updates | Enthält Konfigurationsaktivitäten auf Organisationsebene für Dependabot security updates in vorhandenen Repositorys. Weitere Informationen findest du unter Konfigurieren von Dependabot-Sicherheitsupdates.
| dependabot_security_updates_new_repos | Enthält Konfigurationsaktivitäten auf Organisationsebene für Dependabot security updates für neue Repositorys, die in der Organisation erstellt wurden.
| dependency_graph | Enthält Konfigurationsaktivitäten auf Organisationsebene für Abhängigkeitsdiagramme für Repositorys. Weitere Informationen findest du unter Informationen zum Abhängigkeitsdiagramm.
| dependency_graph_new_repos | Enthält Konfigurationsaktivitäten auf Organisationsebene für neue Repositorys, die in der Organisation erstellt wurden. | dotcom_connection | Enthält Aktivitäten im Zusammenhang mit GitHub Connect.
| enterprise | Enthält Aktivitäten im Zusammenhang mit Unternehmenseinstellungen. | enterprise_domain | Enthält Aktivitäten im Zusammenhang mit überprüften Unternehmensdomänen.
| enterprise_installation | Enthält Aktivitäten im Zusammenhang mit GitHub Apps, die einer GitHub Connect-Unternehmensverbindung zugeordnet sind. | environment | Enthält Aktivitäten im Zusammenhang mit GitHub Actions-Umgebungen. | hook | Enthält Aktivitäten im Zusammenhang mit Webhooks.
| integration | Enthält Aktivitäten im Zusammenhang mit Integrationen in einem Konto.
| integration_installation | Enthält Aktivitäten im Zusammenhang mit Integrationen, die in einem Konto installiert sind.
| integration_installation_request | Enthält Aktivitäten im Zusammenhang mit Anforderungen, die von Organisationsmitgliedern an Besitzerinnen gesendet werden, um Integrationen zur Verwendung innerhalb der Organisation genehmigen zu lassen. | ip_allow_list | Enthält Aktivitäten im Zusammenhang mit dem Aktivieren oder Deaktivieren der Liste zugelassener IP-Adressen für eine Organisation.
| ip_allow_list_entry | Enthält Aktivitäten im Zusammenhang mit dem Erstellen, Löschen und Bearbeiten eines IP-Zulassungslisteneintrags für eine Organisation. | issue | Enthält Aktivitäten im Zusammenhang mit dem Anheften, Übertragen oder Löschen eines Issues in einem Repository.
| issue_comment | Enthält Aktivitäten im Zusammenhang mit dem Anheften, Übertragen oder Löschen von Issuekommentaren.
| issues | Enthält Aktivitäten im Zusammenhang mit dem Aktivieren oder Deaktivieren der Issueerstellung für eine Organisation. | marketplace_agreement_signature | Enthält Aktivitäten im Zusammenhang mit der Unterzeichnung der GitHub Marketplace-Entwicklervereinbarung.
| marketplace_listing | Enthält Aktivitäten im Zusammenhang mit dem Auflisten von Apps in GitHub Marketplace. | members_can_create_pages | Enthält Aktivitäten zum Verwalten der Veröffentlichung von GitHub Pages-Websites für Repositorys in der Organisation. Weitere Informationen findest du unter Verwalten der Veröffentlichung von GitHub Pages-Websites für deine Organisation.
| members_can_create_private_pages | Enthält Aktivitäten zum Verwalten der Veröffentlichung privater GitHub Pages-Websites für Repositorys in der Organisation.
| members_can_create_public_pages | Enthält Aktivitäten zum Verwalten der Veröffentlichung öffentlicher GitHub Pages-Websites für Repositorys in der Organisation. | members_can_delete_repos | Enthält Aktivitäten im Zusammenhang mit der Aktivierung oder Deaktivierung der Repositoryerstellung für eine Organisation. | members_can_view_dependency_insights | Enthält Konfigurationsaktivitäten auf Organisationsebene, mit denen Organisationsmitglieder Abhängigkeitseinblicke anzeigen können.
| migration | Enthält Aktivitäten zum Übertragen von Daten von einem Quellspeicherort (z. B. einer GitHub.com-Organisation oder einer GitHub Enterprise Server-Instanz) an eine GitHub Enterprise Server-Zielinstanz. | oauth_access | Enthält Aktivitäten im Zusammenhang mit OAuth-Zugriffstoken.
| oauth_application | Umfasst Aktivitäten im Zusammenhang mit OAuth apps. | oauth_authorization | Enthält Aktivitäten im Zusammenhang mit der Autorisierung von OAuth apps. | org | Enthält Aktivitäten im Zusammenhang mit der Organisationsmitgliedschaft. | org_credential_authorization | Enthält Aktivitäten im Zusammenhang mit der Autorisierung von Anmeldeinformationen für die Verwendung mit SAML Single Sign-On. | org_secret_scanning_automatic_validity_checks | Enthält Aktivitäten im Zusammenhang mit dem Aktivieren oder Deaktivieren der automatischen Gültigkeitsprüfung für secret scanning in einer Organisation. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für deine Organisation. | org_secret_scanning_custom_pattern | Enthält Aktivitäten im Zusammenhang mit benutzerdefinierten Mustern für die secret scanning in einer Organisation. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung. | organization_default_label | Enthält Aktivitäten im Zusammenhang mit Standardbezeichnungen für Repositorys in einer Organisation.
| organization_domain | Enthält Aktivitäten im Zusammenhang mit verifizieren Organisationsdomains.
| organization_projects_change | Enthält Aktivitäten im Zusammenhang mit organisationsweiten Projekte (klassisch) in einem Unternehmen. | pages_protected_domain | Enthält Aktivitäten im Zusammenhang mit überprüften benutzerdefinierten Domänen für GitHub Pages.
| payment_method | Enthält Aktivitäten im Zusammenhang mit der Zahlungsweise einer Organisation für GitHub.
| prebuild_configuration | Enthält Aktivitäten im Zusammenhang mit Prebuildkonfigurationen für GitHub Codespaces. | private_repository_forking | Enthält Aktivitäten im Zusammenhang mit der Zulassung von Forks privater und interner Repositorys für ein Repository, eine Organisation oder ein Unternehmen. | profile_picture | Enthält Aktivitäten im Zusammenhang mit dem Profilbild einer Organisation. | project | Enthält Aktivitäten im Zusammenhang mit Projekten.
| project_field | Enthält Aktivitäten im Zusammenhang mit der Felderstellung und -löschung in einem Projekt.
| project_view | Enthält Aktivitäten im Zusammenhang mit der Ansichtserstellung und -löschung in einem Projekt.
| protected_branch | Enthält Aktivitäten im Zusammenhang mit geschützten Branches.
| public_key | Enthält Aktivitäten im Zusammenhang mit SSH-Schlüsseln und Bereitstellungsschlüsseln.
| pull_request | Enthält Aktivitäten im Zusammenhang mit Pull Requests.
| pull_request_review | Enthält Aktivitäten im Zusammenhang mit Pull Request-Überprüfungen.
| pull_request_review_comment | Enthält Aktivitäten im Zusammenhang mit Pull Request-Überprüfungskommentaren.
| repo | Enthält Aktivitäten im Zusammenhang mit den Repositorys, die einer Organisation gehören. | repository_advisory | Enthält Aktivitäten auf Repositoryebene im Zusammenhang mit Sicherheitshinweisen in der GitHub Advisory Database. Weitere Informationen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys.
| repository_content_analysis | Enthält Aktivitäten im Zusammenhang mit der Aktivierung oder Deaktivierung der Datenverwendung für ein privates Repository. Weitere Informationen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository.
| repository_dependency_graph | Enthält Aktivitäten auf Repositoryebene im Zusammenhang mit dem Aktivieren oder Deaktivieren des Abhängigkeitsdiagramms für ein privates Repository. Weitere Informationen findest du unter Informationen zum Abhängigkeitsdiagramm. | repository_image | Enthält Aktivitäten im Zusammenhang mit Bildern für ein Repository.
| repository_invitation | Enthält Aktivitäten im Zusammenhang mit Einladungen zum Beitreten zu einem Repository.
| repository_projects_change | Enthält Aktivitäten im Zusammenhang mit der Aktivierung von Projekten für ein Repository oder für alle Repositorys in einer Organisation. | repository_secret_scanning | Enthält Aktivitäten auf Repositoryebene im Zusammenhang mit der secret scanning. Weitere Informationen findest du unter Informationen zur Geheimnisüberprüfung. | repository_secret_scanning_automatic_validity_checks | Enthält Aktivitäten im Zusammenhang mit dem Aktivieren oder Deaktivieren der automatischen Gültigkeitsprüfung für secret scanning in einem Repository. Weitere Informationen findest du unter Aktivieren der Überprüfung auf geheime Schlüssel für Ihr Repository. | repository_secret_scanning_custom_pattern | Enthält Aktivitäten im Zusammenhang mit benutzerdefinierten Mustern für die secret scanning in einem Repository. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung. | repository_secret_scanning_custom_pattern_push_protection | Enthält Aktivitäten im Zusammenhang mit dem Pushschutz eines benutzerdefinierten Musters für die secret scanning in einem Repository. Weitere Informationen findest du unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung. | repository_secret_scanning_push_protection | Umfasst Aktivitäten im Zusammenhang mit dem secret scanning-Pushschutzfeature in einem Repository. Weitere Informationen findest du unter Informationen zum Pushschutz. | repository_visibility_change | Enthält Aktivitäten, mit denen Organisationsmitglieder die Sichtbarkeit von Repositorys für die Organisation ändern können. | repository_vulnerability_alert | Enthält Aktivitäten im Zusammenhang mit Dependabot alerts. | repository_vulnerability_alerts | Enthält Konfigurationsaktivitäten auf Repositoryebene für Dependabot alerts.
| required_status_check | Enthält Aktivitäten im Zusammenhang mit den erforderlichen Statusüberprüfungen für geschützte Branches. | restrict_notification_delivery | Enthält Aktivitäten im Zusammenhang mit der Einschränkung von E-Mail-Benachrichtigungen an genehmigte oder überprüfte Domänen für ein Unternehmen. | role | Enthält Aktivitäten im Zusammenhang mit benutzerdefinierten Repositoryrollen. | secret_scanning | Enthält Konfigurationsaktivitäten auf Organisationsebene zur secret scanning in vorhandenen Repositorys. Weitere Informationen findest du unter Informationen zur Geheimnisüberprüfung.
| secret_scanning_new_repos | Enthält Konfigurationsaktivitäten auf Organisationsebene für die secret scanning in neuen Repositorys, die in der Organisation erstellt wurden. | security_key | Enthält Aktivitäten im Zusammenhang mit der Registrierung und Entfernung von Sicherheitsschlüsseln. | sponsors | Enthält Ereignisse im Zusammenhang mit Sponsorschaltflächen (siehe Sponsorenschaltfläche in deinem Repository anzeigen). | ssh_certificate_authority | Enthält Aktivitäten im Zusammenhang mit einer SSH-Zertifizierungsstelle in einer Organisation oder einem Unternehmen.
| ssh_certificate_requirement | Enthält Aktivitäten, mit denen festgelegt wird, dass Mitglieder SSH-Zertifikate verwenden müssen, um auf Organisationsressourcen zuzugreifen. | sso_redirect | Enthält Aktivitäten im Zusammenhang mit der automatischen Umleitung von Benutzern zur Anmeldung (siehe Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen). | staff | Enthält Aktivitäten im Zusammenhang mit einem Websiteadministrator, der eine Aktion ausführt.
| team | Enthält Aktivitäten im Zusammenhang mit Teams in einer Organisation. | team_sync_tenant | Enthält Aktivitäten im Zusammenhang mit der Teamsynchronisierung mit einem IdP für ein Unternehmen oder eine Organisation. | user | Enthält Aktivitäten im Zusammenhang mit Benutzerinnen in einem Unternehmen oder einer Organisation. | user_license | Enthält Aktivitäten im Zusammenhang mit Benutzer*innen, die einen lizenzierten Arbeitsplatz in einem Unternehmen belegen, dessen Mitglied sie sind. | workflows Enthält Aktivitäten im Zusammenhang mit GitHub Actions-Workflows.
Suche nach dem Zeitpunkt der Aktion
Verwende den Qualifizierer created, um Ereignisse im Überwachungsprotokoll basierend auf dem Zeitpunkt, an dem sie aufgetreten sind, zu filtern.
Die Datumsformatierung muss dem ISO8601-Standard entsprechen: YYYY-MM-DD (Jahr-Monat-Tag). Du kannst nach dem Datum auch optionale Zeitinformationen im Format THH:MM:SS+00:00 hinzufügen, um nach Stunde, Minute und Sekunde zu suchen. Das heißt, T, gefolgt von HH:MM:SS (Stunden-Minuten-Sekunden) und einem UTC-Offset (+00:00).
Wenn du nach einem Datum suchst, kannst du „größer als“, „kleiner als“ und Bereichsqualifizierer verwenden, um Ergebnisse weiter zu filtern. Weitere Informationen findest du unter Grundlagen der Suchsyntax.
Beispiel:
created:2014-07-08sucht alle Ereignisse, die am 8. Juli 2014 aufgetreten sind.created:>=2014-07-08sucht alle Ereignisse, die am oder nach dem 8. Juli 2014 aufgetreten sind.created:<=2014-07-08sucht alle Ereignisse, die am oder vor dem 8. Juli 2014 aufgetreten sind.created:2014-07-01..2014-07-31sucht alle Ereignisse, die im Juli 2014 aufgetreten sind.
Suche nach Standort
Mithilfe des Qualifizierers country kannst du Ereignisse im Überwachungsprotokoll basierend auf dem Ursprungsland filtern. Dazu kannst du den Kurzcode aus zwei Buchstaben oder den vollständigen Namen eines Landes verwenden. Ländernamen mit Leerzeichen müssen in Anführungszeichen eingeschlossen werden. Beispiel:
country:desucht alle Ereignisse, die in Deutschland aufgetreten sind.country:Mexicosucht alle Ereignisse, die in Mexiko aufgetreten sind.country:"United States"sucht alle Ereignisse, die in den USA aufgetreten sind.
Suchen basierend auf dem Token, das die Aktion ausgeführt hat
Verwende den Qualifizierer hashed_token, um basierend auf dem Token zu suchen, das die Aktion ausgeführt hat. Damit du nach einem Token suchen kannst, musst du einen SHA-256-Hash generieren. Weitere Informationen findest du unter Identifizieren von Überwachungsprotokollereignissen, die von einem Zugriffstoken ausgeführt werden.