GitHub audit logとは?Organizationで誰が何をしたか確認する時の基本
audit logは、Organizationなどで行われた操作を確認するための機能です。利用条件や見える範囲は変わるため、GitHub Docsと管理画面で確認します。
このページでわかること
- audit logで確認できる操作履歴の考え方がわかる
- 権限変更やmember追加を追う時の入口がわかる
- 退職者や外注終了後の確認と接続できる
まず確認すること
- 誰が、いつ、どの操作をしたか確認する
- 権限変更、member追加、repo操作、設定変更を見る
- 疑わしい操作は管理者が確認する
- 保持期間や見える範囲は現在のGitHub Docsで確認する
やってはいけないこと
- 監査を完全に保証すると書かない
- 法律判断をこのページだけでしない
- Secretsや個人情報の中身が見える機能として説明しない
安全寄りに進める手順
- 対象のrepo、branch、PR、Actions runを確認する。
- Secrets、APIキー、token、.env、個人情報が差分やログに出ていないか見る。
- 必要な場合は値を停止または再発行し、影響範囲を整理する。
- 変更は小さなbranchとPRに分け、CIとreviewで確認する。
CodexやAI作業時の注意
AIに作業を渡す時は、対象ファイル、触らないファイル、確認項目を明記します。認証情報や実際のキー値は本文、Issue、PR説明、ログ、レポートに残さないようにします。
一次情報で確認する領域
Actions、Secrets、PR、repository visibility、workflow permissionsは仕様が変わることがあります。実作業前にはGitHub Docsで最新の説明を確認してください。