Schema för Gmail-loggar i BigQuery

händelse_info.klient_kontext.klient_typ

Loggad händelsetyp. Händelsetypen motsvarar händelseattributet i Gmail-logghändelser i säkerhetsutredningsverktyget . Möjliga värden är:

0: Ett steg under e-postleverans som inte är tillgängligt i säkerhetsutredningsverktyget. För mer information, gå till message_info.action_type .

1: Meddelande skickat

2: Meddelande mottaget

3: En Gmail-användare tillämpade manuellt en skräppostklassificering på meddelandet. Användaren markerade till exempel meddelandet som skräppost, nätfiske eller inte skräppost.

4: Gmail flaggade meddelandet som skräppost efter leverans. Flera faktorer kan orsaka detta, inklusive dåligt avsändarrykte eller nya virushashar.

5: Meddelandet i karantän

6: Meddelande släppt från karantän

7: Meddelandet öppnades för första gången

8: Meddelande markerat som oläst

9: Meddelandet besvarades för första gången

10: Meddelandet vidarebefordrades för första gången

11: Meddelandet vidarebefordras automatiskt med en inställning för vidarebefordran av Gmail-kontot

12: Meddelandet flyttat till inkorgen

13: Meddelandet flyttat till papperskorgen

14: Meddelandet togs bort från papperskorgen

15: Länken i meddelandets brödtext klickades

16: Länk i meddelandebilaga klickades på länken under förhandsgranskning av bilagan

17: En eller flera meddelandebilagor har laddats ner

18: En eller flera meddelandebilagor sparade på Google Drive

19: Ett eller flera Google Drive-objekt i meddelandet sparades på mottagarens Google Drive-konto.

20: Klassificeringsetikett tillämpad på meddelandet

21: Ändring av etikett för meddelandeklassificering

22: Klassificeringsetikett borttagen från meddelandet

23: Klassificeringsetikett tillämpad på alla meddelandebilagor

24: Klassificeringsetiketten har ändrats för alla meddelandebilagor

25: Klassificeringsetikett borttagen från alla meddelandebilagor

26: Meddelandet arkiverat

27: Meddelandet permanent raderat

28: En eller flera meddelandebilagor förhandsgranskade

29: Meddelandet sparat som utkast

30: Meddelandet kunde inte levereras och studsade

31: Meddelandet visades, inklusive första och efterföljande avläsningar. För mer information om ett känt iOS-problem, gå till kända problem med Google Workspace .

32: Meddelandet har laddats ner

Obs ! Detta loggar nedladdningshändelser från POP3-e-postklienter, till exempel Mozilla Thunderbird. Det inkluderar inte nedladdningshändelser från Gmail-webbgränssnittet (till exempel användning av alternativet Ladda ner meddelande eller nedladdning från vyn Visa original ).

33: Ett program öppnade ett meddelande för en användares räkning

34: Delegat beviljat

Obs ! BigQuery-exporter som aktiverades mellan april 2024 och juli 2024 inkluderar inte historiska View-händelser mellan april 2024 och det datum du aktiverade exporten. BigQuery-exporter som aktiverades i augusti 2024 och senare inkluderar historiska View-händelser 6 månader före det datum du aktiverade exporten.

Sant om händelsen lyckades, annars falskt. Värdet är till exempel falskt om meddelandet avvisades av en policy.

Meddelandeleveransåtgärden som händelsen representerar. Möjliga värden:

1: Meddelande mottaget av inkommande SMTP-server

2: Meddelandet har accepterats av Gmail och förberetts för leverans. Detta steg följer vanligtvis steg 1, eller är det första steget om du skickar från Gmail. För inkommande meddelanden utvärderas vanligtvis policyer med avvisningshantering här. Till exempel en policy för bilagor som avvisar inkommande meddelanden.

3: Gmail agerade på meddelandet. Till exempel levererades det till en Gmail-postlåda eller skickades till en annan server. Detta steg följer vanligtvis 2. Principer med andra dispositioner än avvisa utvärderas här. Till exempel en efterlevnadspolicy för bilagor som tar bort bilagor baserat på filtyp eller andra kriterier.

10: Meddelande skickat av utgående SMTP-server

14: Ett tillfälligt fel uppstod när Gmail försökte leverera meddelandet, och meddelandet har schemalagts för ett nytt försök. Vanligtvis orsakas detta av externa eller interna servrar som tillfälligt är otillgängliga. Försök igen senare. Till exempel försökte Gmail leverera meddelandet till en extern SMTP-server, men fick ett tillfälligt fel.

18: Meddelandet kunde inte levereras och studsade. Ibland kan du ta reda på vad som hände genom att läsa message_info.description . Vanliga orsaker inkluderar:

• Mottagarservern accepterade inte begäran

• Meddelandet kunde inte levereras på grund av för många tillfälliga fel (gå till 14 i den här tabellen)

• Meddelandet avvisades på grund av en uppskjuten policyutvärdering

• Mottagaren är okänd och det finns ingen policy som utlöses för att ändra den primära leveransvägen.

19: Meddelandet togs bort av Gmail. Vanliga orsaker inkluderar:

• Om ett skickat meddelande utlöser konsekvenser för administratörskarantänen tas det ursprungliga meddelandet bort och en kopia av meddelandet läggs till i administratörskarantänen.

• För ett journalmeddelande levereras det inkapslade inre meddelandet men det ursprungliga meddelandet tas bort

• För inkommande meddelanden kan Gmail blockera och ta bort meddelanden om, till exempel:

  • Meddelandet är inte kompatibelt med RFC 5322

  • Avsändaren bryter mot riktlinjerna för massutskick

• Om en policy tog bort den primära leveransvägen och lade till andra rutter, tas det ursprungliga meddelandet bort och kopior levereras till de tillagda rutterna.

• Om mottagaren är en okänd adress och det finns en policy som lägger till ytterligare rutter, tas det ursprungliga meddelandet bort och kopior levereras till de tillagda rutterna.

45: Meddelandet accepterades för leverans av Google Grupper-undersystemet

46: Meddelandets mottagaradress var en Google-grupp, och mottagaren utökades till varje medlem i Google-gruppen som har meddelandeleverans aktiverad.

48: Meddelande mottaget av inkommande SMTP-server för relä

49: Meddelande skickas via relä av utgående SMTP-server

51: Meddelandet skrevs till Google Gruppers lagringsutrymme

54: Meddelandet avvisades av Google Gruppers lagringssystem

55: Meddelandet återinsattes i Gmail av policyer som ändrar den primära leveransvägen eller kuvertmottagaren

68: Meddelandet har accepterats av Gmail och förberetts för leverans. Detta liknar 2 , men meddelandet skickades via en Gmail-server.

69: En användare ändrade meddelandets skräppostklassificering i Gmail. Till exempel markerade en användare det som skräppost, nätfiske eller inte skräppost.

70: Meddelandet omklassificerades som skräppost eller nätfiske efter att det levererats till Gmail.

71: En användare utförde en åtgärd i inkorgen efter att ha mottagit meddelandet. Åtgärder efter leverans inkluderar att öppna ett meddelande, klicka på en länk i ett meddelande och ladda ner en bilaga. BigQuery-exporten innehåller information om åtgärden.

Information om meddelandets bilagor. Denna post upprepas för varje bilaga.

Kategori för skadlig kod, om den upptäcks när meddelandet hanteras. Det här fältet är avmarkerat om ingen skadlig kod upptäcks. Möjliga värden:

• 1: En känd skadlig programtyp av skadlig kod
• 2: Skadlig kod av virus- eller masktyp
• 3: Möjligt skadligt e-postinnehåll
• 4: Möjligt oönskat e-postinnehåll
• 5: Annan typ av skadlig kod

Meddelandeautentiseringstyp (till exempel SPF, DKIM). Möjliga värden:

• 1: Solskyddsfaktor
• 2: DKIM
• 3: DKIM_PROXY
• 4: XOAR_SPF
• 5: XOAR_DKIM
• 6: ARC_SPF
• 7: ARC_DKIM

SMTP-svarskod för inkommande och utgående SMTP-anslutningar. Vanligtvis 2xx , 4xx eller 5xx .

Detaljerad orsak till SMTP-svarskoden för inkommande anslutningar. Möjliga värden:

• 1: Standardorsak till att meddelanden accepteras eller avvisas
• 3: Skadlig programvara
• 4: DMARC-policy
• 5: Bifogad fil stöds inte av Gmail
• 6: Mottagningsgräns överskriden
• 7: Konto över offert
• 8: Felaktig PTR-rapport
• 9: Mottagaren finns inte
• 10: Kundpolicy
• 12: RFC-överträdelse
• 13: Uppenbar spam
• 14: Överträdelse av tjänst
• 15: Skadliga länkar eller spam-länkar
• 16: Lågt IP-rykte
• 17: Lågt domänrykte
• 18: IP-adress listad i offentlig blockeringslista i realtid
• 19: Tillfälligt avvisad på grund av DOS-begränsningar
• 20: Permanent avvisad på grund av DOS-begränsningar

Typ av anslutning som gjorts till SMTP-servern. Anges endast för loggar över händelser som explicit hanterar SMTP-anslutningar. Värden:

• 0: Inte TLS
• 1: TLS

message_connection_info.smtp_user_agent_ip

meddelandeinfo.destination.rcpt_response

Underkategori för varje tjänst. Gå till message_info.destination.service för värdedefinitioner.

Tjänsten vid meddelandedestinationen. Det finns många tjänst- och väljarpar för destinationer. Du kan använda dessa två fält för att avgöra vilken tjänst meddelandet skickades till.

Endast för inkommande meddelanden. När den är inställd indikerar den att S/MIME-dekryptering försöktes för den här mottagaren. Värdet anger slutförandestatus. Inte inställd om den hoppas över.

Endast för inkommande meddelanden. När det är angivet indikerar det att S/MIME-extrahering försöktes för den här mottagaren. Värdet anger slutförandestatus. Inte angivet om det hoppas över.

Endast för inkommande meddelanden. När den är inställd indikerar den att S/MIME-parsning försöktes för den här mottagaren. Värdet anger slutförandestatus. Inte inställd om den hoppas över.

Endast för inkommande meddelanden. När det är inställt indikerar det att S/MIME-signaturverifiering försöktes för den här mottagaren. Värdet anger slutförandestatus. Inte inställt om det hoppas över.

Sträng som har information om all mottagarinformation utplattad, i detta format:
"tjänst_för_mottagare1:väljare_för_mottagare1:adress_för_mottagare1",
service_for_recipient2:selektor_for_recipient2:adress_för_recipient2"

Sant om policyreglerna utvärderades för avsändaren (meddelandet bearbetades för utgående leverans). Falskt om policyreglerna utvärderades för mottagaren (meddelandet bearbetades för inkommande leverans).

Meddelandeuppsättningstypen som meddelandet tillhör. Gå till message_info.message_set.type för mer information.

Meddelandeuppsättningstyper är attribut som beskriver meddelandet. Till exempel om meddelandet var inkommande, utgående eller internt. Möjliga värden:

1: Meddelandet är inkommande (mottaget från en annan domän än dina). Den här meddelandegruppen visas inte med meddelandegruppen 10 .

2: Meddelandet är utgående (skickat till en mottagare utanför dina domäner). Denna meddelandegrupp visas inte med meddelandegrupp 10 .

4: Meddelandet innehåller stötande innehåll, enligt definitionen i en av era policyer

6: Meddelandet utlöste den muromgärdade trädgårdsregeln som du konfigurerade, vilken begränsar meddelanden till auktoriserade adresser eller domäner

7: Gmail klassificerade meddelandet som skräppost

8: Meddelande skickas (utgående meddelande)

9: Meddelande tas emot (inkommande meddelande)

10: Meddelande som är internt för dina domäner

11: Meddelandet har en eller flera avsändare utanför dina domäner. För mottagna meddelanden: Om meddelandeuppsättning 27 saknas kunde avsändaren inte autentiseras. Meddelandet behandlas som att ha en avsändare utanför din domän.

12: Meddelandet har mottagare inom din domän och mottagare utanför din domän. Denna meddelandegrupp kan visas när:

• Det finns flera mottagare
• Ett meddelande skickas. För att meddelanden ska kunna tas emot måste alla mottagare tillhöra samma domän.
• Åtgärdstypen för meddelandet är 2. Meddelanden med flera mottagare delas upp i meddelanden med en enda mottagare.

13: Meddelandetypen är okänd

15: Policyn som kontrolleras mot är kopplad till en Gmail-användare

18: Meddelandet har ingen standardrutt

19: Adresslistan som du konfigurerade för domänens standardrouting matchar meddelandets motsvara

20: Meddelandet kommer från en adress i din lista över blockerade avsändare

21: Meddelandet skickades via TLS och SSL-certifikatet är giltigt.

22: Meddelandet skickades via TLS

24: Mottagaren av detta meddelande är okänd

25: Meddelandet är en rapport om utebliven leverans som svar på ett meddelande som inte levererades

26: Meddelandet utlöste en omdirigeringsregel som du konfigurerade i domänens standardrouting

27: Avsändaren har godkänt SPF/DKIM/DMARC-autentiseringen. Om avsändaren inte är autentiserad är avsändardomänen inte betrodd och meddelandet anses inte vara internt.

28: Exchange-journalen arkiverar meddelandet till Google Vault

29: Meddelandet dirigerades via SMTP-relä

30: En mottagare av meddelandet matchade en av de uppräknade mottagarna (istället för ett reguljärt uttrycksmönster) som du konfigurerade för domänroutning eller domänstandardroutning.

31: Meddelandet matchade ett standardrutningsvillkor för domänen som du konfigurerat

33: Meddelandet måste överföras via en säker anslutning, till exempel TLS

34: Policyn som kontrolleras mot är knuten till en grupp istället för en enskild Gmail-användare.

35: Meddelandet kunde inte autentiseras i SMTP-reläet eftersom det har en tom SMTP-kuvert-från-adress eller möjligen är ett Exchange Journal-meddelande. Det kommer att kontrolleras senare vid SMTP RCPT-kommandotillfället.

36: Meddelandet har aggressiv skräppostfiltrering aktiverad

37: Meddelandet är autentiserat för SMTP-relä

39: Avsändaren kommer från en autentiserad domän för relä

40: Meddelandet kommer från en Google Workspace-användare i domänen som autentiseras för relä.

41: Avsändaren har autentiserats med SMTP AUTH, och Gmail försöker autentisera SMTP-relä för avsändarens domän.

42: Meddelandet skickades från en adress som inte är autentiserad

43: Meddelandet omdirigerades via en alias-tabell

44: Meddelandet utlöste en regel som ändrar e-postflödets rutt

45: Meddelandet är till ett catch-all-konto och vidarebefordras till en lokal server. System-of-record-principer kommer inte att tillämpas på det.

46: Meddelandet kringgick skräppostfiltret

47: Meddelandet upptäcktes som skräppost genom tagg-och-leverera-information i inställningarna för inkommande gateway

48: Meddelandet kontrollerades inte för skräppost (via SMTP) på grund av en policy för åsidosättning av skräppost

49: Åsidosätt alltid avvisning av skräppost för meddelandet

50: Meddelandet matchar ett domänrutningsvillkor som du konfigurerat

51: Meddelandet utlöste en omdirigeringsregel som du konfigurerade för domänroutning

57: Meddelande mottogs från en inkommande gateway-regel som du konfigurerade

60: Meddelandet är skyddat med Gmails konfidentiella läge

61: Meddelandet mottogs av säkerhetssandlådan

62: Adresslistan som du konfigurerade för domänens standardrouting matchar SMTP-kuvertmottagaren istället för meddelandets motpart.

63: Meddelandet utlöste en omdirigeringsregel på domännivå, som du konfigurerade för domänroutning eller domänstandardroutning

Typ av åtgärd efter leverans. Möjliga värden:

1: Meddelandet öppnades för första gången

2: Meddelande markerat som oläst

3: Meddelandet besvarat

4: Meddelande vidarebefordrat

5: Meddelandet vidarebefordras automatiskt av en Gmail-inställning

6: Meddelandet flyttat till inkorgen

7: Meddelandet flyttat till papperskorgen

8: Meddelandet har flyttats från papperskorgen

9: En länk i meddelandetexten klickades

10: En eller flera meddelandebilagor har laddats ner

11: En länk i en bilaga klickades när bilagan förhandsgranskades

12: En eller flera meddelandebilagor sparades på Google Drive

13: En länk i tillägget klickades

14: Ett eller flera Google Drive-objekt i meddelandet har laddats ner

15: Ett eller flera Google Drive-objekt i meddelandet sparades på mottagarens Google Drive-konto.

16: En klassificeringsetikett har tillämpats på eller ändrats för meddelandet

17: En klassificeringsetikett har tillämpats på eller ändrats för meddelandebilagor

18: Meddelandet arkiverat

19: Meddelandet permanent raderat

20: En eller flera meddelandebilagor förhandsgranskades

21: Mottagaren blockerade meddelandets avsändare

22: Meddelandet sparat som utkast

23: Meddelandet visades, inklusive första och efterföljande avläsningar

24: Meddelandet har laddats ner

25: Ett program öppnade ett meddelande för en användares räkning

26: Delegat beviljat

Typ av skadlig kod, om skadlig kod upptäcks under meddelandehanteringen. Om ingen skadlig kod upptäcks är det här fältet inte angivet. Möjliga värden:

1: Känd skadlig programtyp av skadlig kod

2: Virus- eller maskliknande programvara

3: Möjligt skadligt meddelandeinnehåll

4: Möjligt oönskat meddelandeinnehåll

5: Annan typ av skadlig kod

Enhetstyp som klassificerades. Möjliga värden:

1: Meddelandetext

2: Bilaga

Klassificeringshändelsetyp. Möjliga värden:

1: Etikett ändrad

2: Nyligen applicerad etikett

3: Etikett borttagen

Meddelandets översta S/MIME-typ, indikerad av Content-Type:-rubriken. Möjliga värden:

0: Meddelandet har inte en igenkänd S/MIME-innehållstyp

1: Ett S/MIME-meddelande med en fristående signatur, indikerat av innehållstypen multipart/signed med parametern protocol=application/pkcs7-signature

2: Ett S/MIME-meddelande med en ogenomskinlig signatur, indikerat av innehållstypen application/pkcs7-mime eller application/x-pkcs7-mime med parametern smime-type=signed-data

3: Ett S/MIME-meddelande som är krypterat, vilket indikeras av innehållstypen application/pkcs7-mime eller application/x-pkcs7-mime med parametern smime-type=enveloped-data

4: Ett S/MIME-meddelande som är komprimerat, vilket indikeras av innehållstypen application/pkcs7-mime eller application/x-pkcs7-mime med parametern smime-type=compressed-data

Endast för utgående meddelanden. När detta är satt och sant indikerar det att meddelandet ska krypteras.

When set, indicates that inbound S/MIME processing occurred. Not set if skipped. The value indicates the completion status. Note: Currently not set.

Endast för utgående meddelanden. När den är inställd indikerar den att ett försök till S/MIME-paketering har genomförts. Inte inställd om den hoppades över. Värdet anger slutförandestatus.

Om Gmail avvisar en SMTP-reläförfrågan ger den här felkoden information om orsaken till avslaget. Möjliga värden:

1: Autentiseringsfel

2: Daglig gräns för pris överskriden

3: Topphastighetsgränsen överskriden

4: Missbruk av SMTP-relä

5: Gränsen per användare har överskridits

Från: visningsnamnet i meddelanderubriken som det visas i meddelanderubrikerna, till exempel John Doe. Det här fältet kan avkortas om loggen är för lång eller om det finns för många utlösta regler (triggered_rule_info) i loggen.

En underkategori till källservern. För värdebeskrivningar, gå till message_info.source.service .

Källtjänsten för meddelandet. Använd dessa två fält för att avgöra vilken tjänst som skickade meddelandet och varför meddelandet genererades.

Anledning till att meddelandet klassificerades som skräppost, nätfiske eller annan klassificering. Möjliga värden:

1: Orsak till standardklassificering av skräppost

2: Meddelandet klassificerat på grund av avsändarens tidigare handlingar

3: Misstänkt innehåll

4: Misstänkt länk

5: Misstänkt anknytning

6: Anpassad policy definierad i Gmail-inställningarna för Google Workspace

7: DMARC

8: Domän i offentliga RBL:er

9: Brott mot RFC-standarder

10: Brott mot Gmail-policyn

11: Maskininlärningsdom

12: Avsändarens rykte

13: Uppenbar spam

14: Avancerat skydd mot nätfiske och skadlig kod

Resultatet av Gmails skräppostklassificering. Möjliga värden:

1: Inte skräppost eller skadlig kod

2: Skräppost

3: Nätfiske

4: Misstänkt

5: Skadlig programvara

MIME-typkategori. Möjliga värden:

1: Okänd filtyp

2: Microsoft Office-dokument, inklusive ordbehandlings-, kalkylblads-, presentations- och databasdokument. Inkluderar PDF-filer. Filen kan vara krypterad eller inte.

3: Video och multimedia, till exempel MPEG, Quicktime eller WMV

4: Musik och ljud, till exempel MP3, AAC och WAV

5: Bilder, till exempel JPEG, BMP eller GIF

6: Arkiv, till exempel ZIP, TAR eller TGZ

7: Körbara filer, till exempel EXE, COM eller JS

8: Krypterade Office-dokument

9: Office-dokument som inte är krypterade

Action taken for the consequence. Possible values:

0: Consequence is a no-op

3: Put message in Admin Quarantine

4: Modify the primary delivery target

5: Add a delivery target

6: Added a message header

7: Overwrite the envelope recipient

9: Add message to specified message set

10: Modify the message labels

11: Prefix text to message subject

12: Add a footer to the message

13: Strip the message body

14: Store a copy of the message in the user's mailbox, according to comprehensive mail storage setting

15: Replace attachment with canned text

16: Require secure message delivery

17: Message can't be delivered and bounced

18: Archive to Google Vault for recipients

20: Encrypt outbound message using S/MIME

21: Change the recipient user when message is received at SMTP

Custom rule type. Possible values:

0: Walled garden

7: Objectionable content

8: Content compliance

10: Received mail routing

11: Sent mail routing

12: Spam override

14: Blocked senders

15: Append footer

16: Attachment compliance

17: TLS compliance

18: Domain default routing

19: Inbound email journal acceptance in Vault

20: Outbound relay

21: Quarantine summary

22: Alternate secure route

23: Alias table

24: Comprehensive mail storage

25: Routing rule

26: Inbound gateway

27: S/MIME

28: Third-party email archiving

Describes the custom rule spam classification results. Possible values:

0: No action —The rule honored the Gmail spam classification outcome

1: Spam —The rule classified the message as spam

2: Not spam —the rule classified the message as not spam

Name of the attachment where a matching string was found in the text extracted from a binary file. Note: This field is currently not populated.

Match expression set in the Admin console. This field may be truncated if the log is too long, or the number of triggered rules (triggered_rule_info) in the log is too big.

String that triggered the rule. Sensitive information is hidden by * or . This field might be truncated if the log is too long, or the number of triggered rules (triggered_rule_info) in the log is too large.

Location of the string matched in the message. Possible values:

0: Unknown

1: Message body, including text format attachments

2: Binary format attachments

3: Message headers

4: Subject

5: Sender header

6: Recipient header

7: Raw message

Type of match. Possible values:

• 0: Undefined
• 1: Regular expression match
• 2: Predefined detector match
• 3: Simple content match
• 4: Non-ASCII match

Error encountered while uploading the message to the destination. Possible values:

• 0: Uncategorized transient error
• 1: Recipient account is too busy
• 2: DNS error resolving recipient domain
• 3: Recipient's server refused connection
• 4: Recipient is out of storage