Schema voor Gmail-logboeken in BigQuery

event_info.client_context.client_type

Geregistreerd gebeurtenistype. Het gebeurtenistype komt overeen met het kenmerk Gebeurtenis in de Gmail-logboekgebeurtenissen in de Beveiligingsonderzoekstool . Mogelijke waarden zijn:

0: Een fase tijdens de e-mailbezorging die niet beschikbaar is in de tool voor beveiligingsonderzoek. Zie message_info.action_type voor meer informatie.

1: Bericht verzonden

2: Bericht ontvangen

3: Een Gmail-gebruiker heeft handmatig een spamclassificatie aan het bericht toegekend. De gebruiker heeft het bericht bijvoorbeeld gemarkeerd als spam, phishing of geen spam.

4: Gmail heeft het bericht na verzending als spam gemarkeerd. Dit kan door verschillende factoren worden veroorzaakt, waaronder een slechte reputatie van de afzender of nieuwe virus-hashcodes.

5: Bericht in quarantaine geplaatst

6: Bericht vrijgegeven uit quarantaine

7: Bericht voor de eerste keer geopend

8: Bericht gemarkeerd als ongelezen

9: Bericht voor de eerste keer beantwoord

10: Bericht voor de eerste keer doorgestuurd

11: Bericht automatisch doorgestuurd met een doorstuurinstelling van een Gmail-account

12: Bericht verplaatst naar Inbox

13: Bericht verplaatst naar de prullenbak

14: Bericht verwijderd uit de prullenbak

15: Er is op de link in de berichttekst geklikt

16: Er is op de link in de berichtbijlage geklikt tijdens het voorvertonen van de bijlage.

17: Een of meer berichtbijlagen zijn gedownload

18: Een of meer berichtbijlagen opgeslagen in Google Drive

19: Een of meer Google Drive-items in het bericht zijn opgeslagen in de Google Drive van de ontvanger.

20: Classificatielabel toegepast op bericht

21: Wijziging van het label voor berichtclassificatie

22: Classificatielabel verwijderd uit bericht

23: Classificatielabel toegepast op alle berichtbijlagen

24: Classificatielabel gewijzigd voor alle berichtbijlagen

25: Classificatielabel verwijderd uit alle berichtbijlagen

26: Bericht gearchiveerd

27: Bericht permanent verwijderd

28: Een of meer berichtbijlagen worden weergegeven in de preview.

29: Bericht opgeslagen als concept

30: Bericht kon niet worden bezorgd en is teruggestuurd

31: Bericht bekeken, inclusief eerste en volgende voorlezingen. Ga naar Bekende problemen met Google Workspace voor meer informatie over een bekend iOS-probleem.

32: Bericht gedownload

Opmerking : Deze logboekregistratie bevat downloadgebeurtenissen van POP3-e-mailclients, zoals Mozilla Thunderbird. Downloadgebeurtenissen van de Gmail-webinterface (bijvoorbeeld via de optie 'Bericht downloaden' of via de weergave 'Origineel weergeven') worden niet meegenomen.

33: Een applicatie heeft namens een gebruiker toegang gekregen tot een bericht.

34: Delegatie verleend

Let op : BigQuery-exports die tussen april 2024 en juli 2024 zijn ingeschakeld, bevatten geen historische View-gebeurtenissen van april 2024 tot de datum waarop u de export hebt ingeschakeld. BigQuery-exports die in augustus 2024 of later zijn ingeschakeld, bevatten wel historische View-gebeurtenissen van 6 maanden vóór de datum waarop u de export hebt ingeschakeld.

Retourneert 'true' als de gebeurtenis succesvol was, anders 'false'. De waarde is bijvoorbeeld 'false' als het bericht door een beleid is afgewezen.

De actie voor berichtbezorging die de gebeurtenis vertegenwoordigt. Mogelijke waarden:

1: Bericht ontvangen door inkomende SMTP-server

2: Bericht geaccepteerd door Gmail en klaar voor verzending. Deze stap volgt meestal op stap 1, of is de eerste stap als je vanuit Gmail verzendt. Voor inkomende berichten worden hier doorgaans beleidsregels met afwijzingsmogelijkheden geëvalueerd. Bijvoorbeeld een beleid voor bijlagen dat inkomende berichten afwijst.

3: Gmail heeft het bericht verwerkt. Het is bijvoorbeeld bezorgd in een Gmail-mailbox of verzonden naar een andere server. Deze stap volgt meestal op stap 2. Beleidsregels met andere afhandelingsmogelijkheden dan 'afwijzen' worden hier geëvalueerd. Bijvoorbeeld een beleid voor bijlagen dat bijlagen verwijdert op basis van bestandstype of andere criteria.

10: Bericht verzonden door uitgaande SMTP-server

14: Er is een tijdelijke fout opgetreden toen Gmail het bericht probeerde te bezorgen. Het bericht is ingepland voor een nieuwe bezorgpoging. Dit wordt meestal veroorzaakt door externe of interne servers die tijdelijk niet beschikbaar zijn. Probeer het later opnieuw. Gmail probeerde bijvoorbeeld het bericht naar een externe SMTP-server te verzenden, maar ontving een tijdelijke foutmelding.

18: Het bericht kon niet worden bezorgd en is teruggestuurd. Soms kunt u de oorzaak achterhalen door message_info.description te lezen. Veelvoorkomende redenen zijn onder andere:

• De ontvangende server heeft het verzoek niet geaccepteerd.

• Het bericht kon niet worden bezorgd vanwege te veel tijdelijke fouten (ga naar 14 in deze tabel).

• Het bericht werd afgewezen vanwege een uitgestelde beleidsevaluatie.

• De ontvanger is niet herkend en er is geen beleid geactiveerd dat de primaire bezorgroute wijzigt.

19: Het bericht is door Gmail verwijderd. Veelvoorkomende redenen zijn:

• Als een verzonden bericht quarantainemaatregelen van de beheerder activeert, wordt het oorspronkelijke bericht verwijderd en wordt een kopie ervan toegevoegd aan de beheerdersquarantaine.

• Bij een dagboekbericht wordt het ingekapselde binnenbericht wel bezorgd, maar het oorspronkelijke bericht niet.

• Gmail kan inkomende berichten blokkeren en verwijderen als bijvoorbeeld:

  • Het bericht voldoet niet aan RFC 5322.

  • De afzender schendt de richtlijnen voor bulkverzendingen.

• Als een beleid de primaire bezorgroute verwijdert en andere routes toevoegt, wordt het oorspronkelijke bericht verwijderd en worden kopieën naar de toegevoegde routes verzonden.

• Als het adres van de ontvanger onbekend is en er een beleid is dat extra routes toevoegt, wordt het oorspronkelijke bericht verwijderd en worden kopieën naar de toegevoegde routes verzonden.

45: Bericht is geaccepteerd voor verzending door het Google Groepen-subsysteem.

46: Het e-mailadres van de ontvanger van het bericht was een Google Groep, en de ontvanger werd uitgebreid naar elk lid van de Google Groep dat berichtbezorging heeft ingeschakeld.

48: Bericht ontvangen door inkomende SMTP-server voor doorsturen

49: Bericht verzonden via relay door uitgaande SMTP-server

51: Bericht is opgeslagen in Google Groups-opslag

54: Bericht is geweigerd door het opslagsysteem van Google Groepen.

55: Het bericht is opnieuw in Gmail ingevoegd door beleidsregels die de primaire bezorgroute of de ontvanger van de envelop wijzigen.

68: Bericht geaccepteerd door Gmail en klaar voor verzending. Dit is vergelijkbaar met 2 , maar het bericht is verzonden via een Gmail-server.

69: Een gebruiker heeft de spamclassificatie van het bericht in Gmail gewijzigd. Een gebruiker heeft het bijvoorbeeld gemarkeerd als spam, phishing of geen spam.

70: Het bericht werd opnieuw geclassificeerd als spam of phishing nadat het bij Gmail was afgeleverd.

71: Een gebruiker heeft een actie in de inbox uitgevoerd nadat hij het bericht had ontvangen. Acties na bezorging omvatten het openen van een bericht, het klikken op een link in een bericht en het downloaden van een bijlage. De BigQuery-export bevat details over de actie.

Informatie over de bijlagen van het bericht. Deze gegevens worden voor elke bijlage herhaald.

Malwarecategorie, indien gedetecteerd tijdens de verwerking van het bericht. Dit veld is niet ingevuld als er geen malware wordt gedetecteerd. Mogelijke waarden:

• 1: Een bekend type kwaadaardig programma (malware)
• 2: Een virus of worm, een type malware
• 3: Mogelijk schadelijke e-mailinhoud
• 4: Mogelijk ongewenste e-mailinhoud
• 5: Andere soorten malware

Type berichtverificatie (bijvoorbeeld SPF, DKIM). Mogelijke waarden:

• 1: SPF
• 2: DKIM
• 3: DKIM_PROXY
• 4: XOAR_SPF
• 5: XOAR_DKIM
• 6: ARC_SPF
• 7: ARC_DKIM

SMTP-antwoordcode voor inkomende en uitgaande SMTP-verbindingen. Meestal 2xx , 4xx of 5xx .

Gedetailleerde uitleg van de SMTP-antwoordcode voor inkomende verbindingen. Mogelijke waarden:

• 1: Standaardreden waarom berichten worden geaccepteerd of afgewezen
• 3: Malware
• 4: DMARC-beleid
• 5: Bijlagen worden niet ondersteund door Gmail
• 6: Ontvangstlimiet overschreden
• 7: Rekening houden met de offerte
• 8: Slecht PTR-rapport
• 9: De ontvanger bestaat niet
• 10: Klantenbeleid
• 12: RFC-schending
• 13: Openlijke spam
• 14: Weigering van service
• 15: Schadelijke of spamlinks
• 16: Lage IP-reputatie
• 17: Lage domeinreputatie
• 18: IP-adres opgenomen in de openbare realtime blokkeerlijst
• 19: Tijdelijk afgewezen vanwege DOS-limieten
• 20: Definitief afgewezen vanwege DOS-limieten

Type verbinding met de SMTP-server. Alleen ingesteld voor logboeken van gebeurtenissen die expliciet SMTP-verbindingen afhandelen. Mogelijke waarden:

• 0: Geen TLS
• 1: TLS

bericht_verbindingsinformatie.smtp_gebruikersagent_ip

bericht_info.bestemming.rcpt_response

Subcategorie voor elke service. Ga naar message_info.destination.service voor waardeomschrijvingen.

De service op de bestemming van het bericht. Er zijn veel service- en selectorparen voor bestemmingen. U kunt deze twee velden gebruiken om te bepalen naar welke service het bericht is verzonden.

Alleen voor inkomende berichten. Indien ingesteld, geeft dit aan dat er een poging tot S/MIME-ontsleuteling voor deze ontvanger is gedaan. De waarde geeft de voltooiingsstatus aan. Niet ingesteld als de ontsleuteling is overgeslagen.

Alleen voor inkomende berichten. Indien ingesteld, geeft dit aan dat er een poging is gedaan tot S/MIME-extractie voor deze ontvanger. De waarde geeft de voltooiingsstatus aan. Niet ingesteld als de extractie is overgeslagen.

Alleen voor inkomende berichten. Indien ingesteld, geeft dit aan dat er een poging is gedaan tot S/MIME-parsing voor deze ontvanger. De waarde geeft de voltooiingsstatus aan. Niet ingesteld als de parsing is overgeslagen.

Alleen voor inkomende berichten. Indien ingesteld, geeft dit aan dat er een poging is gedaan tot S/MIME-handtekeningverificatie voor deze ontvanger. De waarde geeft de voltooiingsstatus aan. Niet ingesteld als de verificatie is overgeslagen.

Een tekenreeks met alle ontvangersinformatie in een platte weergave, in dit formaat:
"service_voor_ontvanger1:selector_voor_ontvanger1:adres_voor_ontvanger1,
service_for_recipient2:selector_for_recipient2:address_for_recipient2"

Waar als de beleidsregels voor de afzender zijn geëvalueerd (het bericht is verwerkt voor uitgaande verzending). Onwaar als de beleidsregels voor de ontvanger zijn geëvalueerd (het bericht is verwerkt voor inkomende verzending).

Het type berichtset waartoe het bericht behoort. Zie message_info.message_set.type voor meer informatie.

Berichtsettypen zijn attributen die het bericht beschrijven. Bijvoorbeeld of het bericht inkomend, uitgaand of intern was. Mogelijke waarden:

1: Bericht is inkomend (ontvangen van buiten uw domeinen). Deze berichtenset verschijnt niet bij berichtenset 10 .

2: Het bericht is uitgaand (verzonden naar een ontvanger buiten uw domeinen). Deze berichtenset verschijnt niet bij berichtenset 10 .

4: Het bericht bevat aanstootgevende inhoud, zoals gedefinieerd in een van uw beleidsregels.

6: Het bericht heeft de door u geconfigureerde 'walled garden'-regel geactiveerd, die berichten beperkt tot geautoriseerde adressen of domeinen.

7: Gmail heeft het bericht als spam geclassificeerd.

8: Bericht dat wordt verzonden (uitgaand bericht)

9: Bericht wordt ontvangen (inkomend bericht)

10: Bericht dat intern is aan uw domeinen

11: Het bericht heeft een afzender of ontvangers buiten uw domeinen. Voor ontvangen berichten: Als berichtset 27 ontbreekt, kon de afzender niet worden geverifieerd. Het bericht wordt behandeld alsof de afzender zich buiten uw domein bevindt.

12: Het bericht heeft ontvangers binnen uw domein en ontvangers buiten uw domein. Deze berichtenset kan verschijnen wanneer:

• Er zijn meerdere ontvangers.
• Er wordt een bericht verzonden. Om berichten te ontvangen, moeten alle ontvangers tot hetzelfde domein behoren.
• Het actietype voor het bericht is 2. Berichten aan meerdere ontvangers worden opgesplitst in berichten aan één ontvanger.

13: Het type van de berichtenset is onbekend

15: Het beleid dat wordt gecontroleerd, is gekoppeld aan een Gmail-gebruiker.

18: Bericht heeft geen standaardroute

19: De adreslijst die u hebt geconfigureerd voor standaardroutering van het domein komt overeen met het correspondentieadres van het bericht.

20: Het bericht is afkomstig van een adres in je lijst met geblokkeerde afzenders.

21: Het bericht is via TLS verzonden en het SSL-certificaat is geldig.

22: Bericht is verzonden via TLS

24: De ontvanger van dit bericht is onbekend

25: Bericht is een melding van niet-bezorging als reactie op een bericht dat niet is bezorgd.

26: Bericht heeft een omleidingsregel geactiveerd, die u hebt geconfigureerd in de standaardroutering van het domein.

27: De afzender heeft de SPF/DKIM/DMARC-authenticatie succesvol doorlopen. Als de afzender niet is geauthenticeerd, wordt het domein van de afzender als onbetrouwbaar beschouwd en wordt het bericht niet als intern beschouwd.

28: Exchange-journaal archiveert het bericht in Google Vault.

29: Bericht werd via SMTP-relay verzonden

30: Een ontvanger van het bericht kwam overeen met een van de opgesomde ontvangers (in plaats van een reguliere expressiepatroon) die u hebt geconfigureerd voor domeinroutering of standaarddomeinroutering.

31: Het bericht komt overeen met een standaard routeringsvoorwaarde voor het domein die u hebt geconfigureerd.

33: Het bericht moet via een beveiligde verbinding, zoals TLS, worden verzonden.

34: Het beleid dat wordt gecontroleerd, is gekoppeld aan een groep in plaats van aan een individuele Gmail-gebruiker.

35: Het bericht kon niet worden geverifieerd in de SMTP-relay omdat het een leeg SMTP-envelop-van-adres heeft of mogelijk een Exchange Journal-bericht is. Dit wordt later gecontroleerd tijdens het uitvoeren van de SMTP RCPT-opdracht.

36: Bericht heeft agressieve spamfiltering ingeschakeld

37: Bericht is geverifieerd voor SMTP-doorgifte

39: De afzender is afkomstig van een geauthenticeerd domein voor doorsturen.

40: Het bericht is afkomstig van een Google Workspace-gebruiker in het domein dat wordt geverifieerd voor doorsturen.

41: De afzender heeft zich succesvol geauthenticeerd met SMTP AUTH en Gmail probeert de SMTP-relay voor het domein van de afzender te authenticeren.

42: Bericht verzonden vanaf een adres dat niet is geverifieerd

43: Bericht werd omgeleid via een aliastabel

44: Bericht activeerde een regel die de route van de e-mailstroom wijzigt.

45: Het bericht is bestemd voor een catch-all-account en wordt doorgestuurd naar een on-premise server. Het systeembeleid is hier niet op van toepassing.

46: Bericht heeft het spamfilter omzeild.

47: Het bericht werd als spam gedetecteerd op basis van de tag-and-deliver-informatie in de instellingen van de inkomende gateway.

48: Het bericht is niet gecontroleerd op spam (door SMTP) vanwege een spam-overridebeleid.

49: Schakel de spamfilter voor het bericht altijd uit.

50: Bericht komt overeen met een domeinrouteringsvoorwaarde die u hebt geconfigureerd

51: Bericht heeft een omleidingsregel geactiveerd die u hebt geconfigureerd voor domeinroutering.

57: Er is een bericht ontvangen van een inkomende gatewayregel die u hebt geconfigureerd.

60: Bericht is beveiligd met de vertrouwelijke modus van Gmail

61: Bericht ontvangen door beveiligingssandbox

62: De adreslijst die u hebt geconfigureerd voor standaardroutering van het domein komt overeen met de ontvanger van de SMTP-envelop in plaats van de correspondent van het bericht.

63: Bericht heeft een omleidingsregel op domeinniveau geactiveerd, die u hebt geconfigureerd voor domeinroutering of standaarddomeinroutering.

Type actie na levering. Mogelijke waarden:

1: Bericht voor de eerste keer geopend

2: Bericht gemarkeerd als ongelezen

3: Bericht beantwoord

4: Bericht doorgestuurd

5: Bericht automatisch doorgestuurd via een Gmail-instelling

6: Bericht verplaatst naar inbox

7: Bericht verplaatst naar de prullenbak

8: Bericht uit de prullenbak verplaatst

9: Er is op een link in de berichttekst geklikt.

10: Een of meer berichtbijlagen zijn gedownload

11: Er is op een link in een bijlage geklikt tijdens het bekijken van de bijlage.

12: Een of meer berichtbijlagen zijn opgeslagen in Google Drive.

13: Er is op een link in de add-on geklikt.

14: Een of meer Google Drive-items in het bericht zijn gedownload.

15: Een of meer Google Drive-items in het bericht zijn opgeslagen in de Google Drive van de ontvanger.

16: Er is een classificatielabel aan het bericht toegekend of gewijzigd.

17: Er is een classificatielabel toegekend aan of gewijzigd voor berichtbijlagen.

18: Bericht gearchiveerd

19: Bericht permanent verwijderd

20: Een of meer berichtbijlagen zijn in de preview weergegeven.

21: De ontvanger heeft de afzender van het bericht geblokkeerd.

22: Bericht opgeslagen als concept

23: Bericht bekeken, inclusief eerste en volgende lezingen

24: Bericht gedownload

25: Een applicatie heeft namens een gebruiker toegang gekregen tot een bericht.

26: Delegatie verleend

Type malware, indien malware wordt gedetecteerd tijdens de berichtverwerking. Als er geen malware wordt gedetecteerd, wordt dit veld niet ingesteld. Mogelijke waarden:

1: Bekend type kwaadaardig programma (malware)

2: Virus of worm, een type malware

3: Mogelijk schadelijke berichtinhoud

4: Mogelijk ongewenste berichtinhoud

5: Andere soorten malware

Het type entiteit dat is geclassificeerd. Mogelijke waarden:

1: Berichtinhoud

2: Bijlage

Classificatie van het gebeurtenistype. Mogelijke waarden:

1: Label gewijzigd

2: Nieuw aangebracht label

3: Label verwijderd

Het S/MIME-type op het hoogste niveau van een bericht, aangegeven door de Content-Type: header. Mogelijke waarden:

0: Het bericht heeft geen herkend S/MIME-inhoudstype.

1: Een S/MIME-bericht met een losgekoppelde handtekening, aangegeven door contenttype multipart/signed met parameter protocol=application/pkcs7-signature

2: Een S/MIME-bericht met een ondoorzichtige handtekening, aangegeven door het inhoudstype application/pkcs7-mime of application/x-pkcs7-mime met parameter smime-type=signed-data

3: Een versleuteld S/MIME-bericht, aangegeven door het inhoudstype application/pkcs7-mime of application/x-pkcs7-mime met parameter smime-type=enveloped-data

4: Een S/MIME-bericht dat gecomprimeerd is, aangegeven door het inhoudstype application/pkcs7-mime of application/x-pkcs7-mime met parameter smime-type=compressed-data

Alleen voor uitgaande berichten. Indien ingesteld op 'true', geeft dit aan dat het bericht versleuteld moet worden.

Indien ingesteld, geeft dit aan dat de inkomende S/MIME-verwerking heeft plaatsgevonden. Niet ingesteld indien overgeslagen. De waarde geeft de voltooiingsstatus aan. Opmerking: Momenteel niet ingesteld.

Alleen voor uitgaande berichten. Indien ingesteld, geeft dit aan dat een poging tot S/MIME-verpakking is gedaan. Niet ingesteld indien overgeslagen. De waarde geeft de voltooiingsstatus aan.

Als Gmail een SMTP-relayverzoek afwijst, geeft deze foutcode informatie over de oorzaak van de afwijzing. Mogelijke waarden:

1: Authenticatiefout

2: Dagelijkse tarieflimiet overschreden

3: Maximale piekbelasting overschreden

4: Misbruik van SMTP-relay

5: Limiet per gebruiker overschreden

Van: de weergegeven naam in de berichtheaders, bijvoorbeeld John Doe. Dit veld kan worden afgekapt als het logboek te lang is of als er te veel geactiveerde regels (triggered_rule_info) in het logboek staan.

Een subcategorie van de bronserver. Voor waardeomschrijvingen, ga naar message_info.source.service .

De bronservice van het bericht. Gebruik deze twee velden om te bepalen welke service het bericht heeft verzonden en waarom het bericht is gegenereerd.

Reden waarom het bericht als spam, phishing of een andere classificatie is aangemerkt. Mogelijke waarden:

1: Standaardreden voor spamclassificatie

2: Bericht geclassificeerd vanwege eerdere acties van de afzender

3: Verdachte inhoud

4: Verdachte link

5: Verdachte gehechtheid

6: Aangepast beleid gedefinieerd in de Gmail-instellingen van Google Workspace

7: DMARC

8: Domein in openbare RBL's

9: Schending van RFC-standaarden

10: Schending van het Gmail-beleid

11: Oordeel over machinaal leren

12: Reputatie van de afzender

13: Openlijke spam

14: Geavanceerde bescherming tegen phishing en malware

Het resultaat van de spamclassificatie van Gmail. Mogelijke waarden:

1: Geen spam of malware

2: Spam

3: Phishing

4: Verdacht

5: Malware

MIME-typecategorie. Mogelijke waarden:

1: Onbekend bestandstype

2: Microsoft Office-documenten, waaronder tekstverwerkings-, spreadsheet-, presentatie- en databasedocumenten. Inclusief PDF-bestanden. Het bestand kan al dan niet versleuteld zijn.

3: Video en multimedia, bijvoorbeeld MPEG, Quicktime of WMV.

4: Muziek en audio, bijvoorbeeld MP3, AAC en WAV

5: Afbeeldingen, bijvoorbeeld JPEG, BMP of GIF

6: Archiefbestanden, bijvoorbeeld ZIP, TAR of TGZ

7: Uitvoerbare bestanden, bijvoorbeeld EXE, COM of JS

8: Versleutelde kantoordocumenten

9: Office-documenten die niet versleuteld zijn

Action taken for the consequence. Possible values:

0: Consequence is a no-op

3: Put message in Admin Quarantine

4: Modify the primary delivery target

5: Add a delivery target

6: Added a message header

7: Overwrite the envelope recipient

9: Add message to specified message set

10: Modify the message labels

11: Prefix text to message subject

12: Add a footer to the message

13: Strip the message body

14: Store a copy of the message in the user's mailbox, according to comprehensive mail storage setting

15: Replace attachment with canned text

16: Require secure message delivery

17: Message can't be delivered and bounced

18: Archive to Google Vault for recipients

20: Encrypt outbound message using S/MIME

21: Change the recipient user when message is received at SMTP

Custom rule type. Possible values:

0: Walled garden

7: Objectionable content

8: Content compliance

10: Received mail routing

11: Sent mail routing

12: Spam override

14: Blocked senders

15: Append footer

16: Attachment compliance

17: TLS compliance

18: Domain default routing

19: Inbound email journal acceptance in Vault

20: Outbound relay

21: Quarantine summary

22: Alternate secure route

23: Alias table

24: Comprehensive mail storage

25: Routing rule

26: Inbound gateway

27: S/MIME

28: Third-party email archiving

Describes the custom rule spam classification results. Possible values:

0: No action —The rule honored the Gmail spam classification outcome

1: Spam —The rule classified the message as spam

2: Not spam —the rule classified the message as not spam

Name of the attachment where a matching string was found in the text extracted from a binary file. Note: This field is currently not populated.

Match expression set in the Admin console. This field may be truncated if the log is too long, or the number of triggered rules (triggered_rule_info) in the log is too big.

String that triggered the rule. Sensitive information is hidden by * or . This field might be truncated if the log is too long, or the number of triggered rules (triggered_rule_info) in the log is too large.

Location of the string matched in the message. Possible values:

0: Unknown

1: Message body, including text format attachments

2: Binary format attachments

3: Message headers

4: Subject

5: Sender header

6: Recipient header

7: Raw message

Type of match. Possible values:

• 0: Undefined
• 1: Regular expression match
• 2: Predefined detector match
• 3: Simple content match
• 4: Non-ASCII match

Error encountered while uploading the message to the destination. Possible values:

• 0: Uncategorized transient error
• 1: Recipient account is too busy
• 2: DNS error resolving recipient domain
• 3: Recipient's server refused connection
• 4: Recipient is out of storage