Audit Log ve Streaming
Audit Log & Streaming
Bu derste neler öğreneceksin
- GitHub Enterprise audit log'un kapsamını ve erişim yollarını anlamak
- Audit log streaming'i yapılandırmak ve kullanım senaryolarını açıklamak
- Audit log'da kritik event kategorilerini tanımlamak
Audit log, GitHub Enterprise’daki tüm önemli eylemlerin kaydedildiği güvenlik ve uyumluluk aracıdır. Domain 5’in en ağır konularından biridir ve GH-100 sınavında sıkça çıkar.
Audit Log Kapsamı
GitHub Enterprise audit log’unda şu olay kategorileri bulunur:
repo: Repository oluşturma, silme, arşivleme, görünürlük değişikliğiorg: Üye ekleme/çıkarma, team değişiklikleribusiness: Enterprise ayarları, billing değişikliklerihook: Webhook oluşturma/güncelleme/silmeprotected_branch: Branch protection kuralı değişiklikleriaudit_log_streaming: Streaming yapılandırma değişiklikleri
Audit Log’a Erişim
Enterprise → Settings → Audit log
Arama sözdizimi:
action:repo.create user:johndoe
action:org.remove_member created:>2026-01-01
API üzerinden de erişilebilir:
GET /enterprises/{enterprise}/audit-log
Audit Log Streaming
Enterprise audit log’u gerçek zamanlı olarak SIEM sistemlerine yönlendirmek için streaming kullanılır. Desteklenen hedefler:
| Hedef | Protokol |
|---|---|
| Amazon S3 | HTTPS |
| Azure Blob Storage | HTTPS |
| Azure Event Hubs | AMQP |
| Google Cloud Storage | HTTPS |
| Splunk | HTTP Event Collector |
| Datadog | HTTPS |
Streaming ayarı:
Enterprise → Settings → Audit log → Audit log streaming
→ Configure streaming → Hedef ve kimlik bilgilerini gir
Önemli: Audit log streaming yalnızca Enterprise planında mevcuttur. Free ve Team planlarında yoktur.
Retention (Saklama Süresi)
- GHEC: Audit log 180 gün saklanır
- GHES: Saklama süresi yönetici tarafından yapılandırılabilir
- Streaming ile SIEM’e yönlendirilen loglar, kurum politikasına göre daha uzun saklanabilir
Kritik Event’ler
Düzenli izlenmesi gereken audit log event’leri:
org.remove_member— Çalışan ayrılmasırepo.destroy— Repository silmeprotected_branch.policy_override— Branch koruma geçersiz kılmabusiness.set_actions_permissions_policy— Actions politika değişikliği