Схема для логов Gmail в BigQuery

event_info.client_context.client_type

Тип регистрируемого события. Тип события соответствует атрибуту «Событие» в журнале событий Gmail в инструменте анализа безопасности . Возможные значения:

0: Этап доставки почты, недоступный в инструменте анализа безопасности. Подробности см. в message_info.action_type .

1: Сообщение отправлено

2: Сообщение получено

3: Пользователь Gmail вручную присвоил сообщению классификацию «спам». Например, он пометил сообщение как спам, фишинг или не спам.

4: Gmail пометил сообщение как спам после доставки. Это может быть вызвано несколькими факторами, включая плохую репутацию отправителя или новые хеши вирусов.

5: Сообщение помещено в карантин

6: Сообщение опубликовано после выхода из карантина

7: Сообщение открыто впервые

8: Сообщение помечено как непрочитанное

9: Сообщение отвечено впервые

10: Сообщение переслано впервые

11: Сообщение автоматически переслано с использованием настроек пересылки учетной записи Gmail.

12: Сообщение перемещено во входящие

13: Сообщение перемещено в корзину

14: Сообщение удалено из корзины

15: Была нажата ссылка в тексте сообщения.

16: Во время предварительного просмотра вложения была нажата ссылка во вложении.

17: Было загружено одно или несколько вложений к сообщению.

18: Одно или несколько вложений к сообщению сохранены на Google Диске

19: Один или несколько элементов Google Drive из сообщения были сохранены в Google Drive получателя.

20: Метка классификации, присвоенная сообщению

21: Изменение метки классификации сообщения

22: Метка классификации удалена из сообщения

23: Классификационная метка применяется ко всем вложениям в сообщения.

24: Классификационная метка изменена для всех вложенных сообщений.

25: Классификационная метка удалена из всех вложений сообщений.

26: Сообщение заархивировано

27: Сообщение удалено навсегда

28: Предварительный просмотр одного или нескольких вложений сообщения.

29: Сообщение сохранено как черновик

30: Сообщение не удалось доставить, и оно было отклонено.

31: Просмотрено сообщение, включая первое и последующие прочтения. Подробную информацию об известной проблеме iOS см. в разделе «Известные проблемы Google Workspace» .

32: Сообщение загружено

33: Приложение получило доступ к сообщению от имени пользователя.

34: Делегату предоставлено право голоса

Примечание : Экспорт данных в BigQuery, включенный в период с апреля 2024 года по июль 2024 года, не включает исторические события View за период с апреля 2024 года до даты включения экспорта. Экспорт данных в BigQuery, включенный в августе 2024 года и позже, включает исторические события View за 6 месяцев до даты включения экспорта.

Значение true, если событие прошло успешно, в противном случае — false. Например, значение false, если сообщение было отклонено политикой.

Действие по доставке сообщения, которое представляет данное событие. Возможные значения:

1: Сообщение получено входящим SMTP-сервером

2: Сообщение принято Gmail и подготовлено к доставке. Этот шаг обычно следует за шагом 1 или является первым шагом, если вы отправляете сообщение из Gmail. Для входящих сообщений здесь обычно оцениваются политики с вариантами отклонения. Например, политика соответствия вложений, которая отклоняет входящие сообщения.

3: Gmail выполнил действия с сообщением. Например, доставил его в почтовый ящик Gmail или отправил на другой сервер. Этот шаг обычно следует за шагом 2. Здесь оцениваются политики с другими вариантами обработки, помимо отклонения . Например, политика соответствия вложений, которая удаляет вложения на основе типа файла или других критериев.

10: Сообщение, отправленное исходящим SMTP-сервером

14: Произошла временная ошибка при попытке доставки сообщения Gmail, и отправка сообщения запланирована на повтор. Обычно это происходит из-за временной недоступности внешних или внутренних серверов. Повторите попытку позже. Например, Gmail попытался доставить сообщение на внешний SMTP-сервер, но получил временную ошибку.

18: Сообщение не удалось доставить, оно было отклонено. Иногда причину можно узнать, прочитав message_info.description . Распространенные причины:

• Сервер получателя не принял запрос.

• Сообщение не удалось доставить из-за слишком большого количества временных ошибок (перейдите к пункту 14 в этой таблице).

• Сообщение было отклонено из-за отложенной оценки политики.

• Получатель не идентифицирован, и никакая политика не активирована для изменения основного маршрута доставки.

19: Сообщение было удалено Gmail. Распространенные причины:

• Если отправленное сообщение вызывает последствия в виде административного карантина, исходное сообщение удаляется, а его копия добавляется в административный карантин.

• В случае сообщения, отправляемого в журнал, внутреннее сообщение в обертке доставляется, но исходное сообщение отбрасывается.

• Входящие сообщения Gmail могут быть заблокированы и отклонены, если, например:

  • Данное сообщение не соответствует требованиям RFC 5322.

  • Отправитель нарушает правила для массовых рассылок.

• Если политика удаляет основной маршрут доставки и добавляет другие маршруты, исходное сообщение отбрасывается, а копии доставляются по добавленным маршрутам.

• Если адрес получателя неизвестен и существует политика, добавляющая дополнительные маршруты, исходное сообщение отбрасывается, а копии доставляются по добавленным маршрутам.

45: Сообщение принято к доставке подсистемой Google Groups.

46: Адрес получателя сообщения представлял собой группу Google, и в качестве получателя был добавлен каждый участник группы Google, у которого включена доставка сообщений.

48: Сообщение получено входящим SMTP-сервером для ретрансляции

49: Сообщение, отправленное через ретранслятор исходящим SMTP-сервером.

51: Сообщение было записано в хранилище Google Groups.

54: Сообщение было отклонено системой хранения Google Groups.

55: Сообщение было повторно вставлено в Gmail в соответствии с политиками, изменяющими основной маршрут доставки или получателя конверта.

68: Сообщение принято Gmail и подготовлено к отправке. Это похоже на пункт 2 , но сообщение было отправлено через сервер Gmail.

69: Пользователь изменил классификацию сообщения как спама в Gmail. Например, пользователь пометил его как спам, фишинг или не спам.

70: После доставки в Gmail сообщение было переклассифицировано как спам или фишинг.

71: Пользователь совершил действие во входящих сообщениях после их получения. Действия после доставки включают открытие сообщения, переход по ссылке в сообщении и загрузку вложения. Экспорт в BigQuery содержит подробную информацию о действии.

Информация о вложениях к сообщению. Эта запись повторяется для каждого вложения.

Категория вредоносного ПО, если она обнаружена при обработке сообщения. Это поле не заполняется, если вредоносное ПО не обнаружено. Возможные значения:

• 1: Известный тип вредоносной программы.
• 2: Вирус или червь — вредоносное программное обеспечение.
• 3: Возможно, вредоносное содержимое электронных писем
• 4: Возможно, нежелательное содержимое электронного письма
• 5: Другие типы вредоносных программ

Тип аутентификации сообщения (например, SPF, DKIM). Возможные значения:

• 1: SPF
• 2: ДКИМ
• 3: DKIM_PROXY
• 4: XOAR_SPF
• 5: XOAR_DKIM
• 6: ARC_SPF
• 7: ARC_DKIM

Код ответа SMTP для входящих и исходящих SMTP-соединений. Обычно 2xx , 4xx или 5xx .

Подробное объяснение причины появления кода ответа SMTP для входящих соединений. Возможные значения:

• 1: Сообщения с указанием причины по умолчанию принимаются или отклоняются.
• 3: Вредоносное ПО
• 4: Политика DMARC
• 5: Gmail не поддерживает вложения.
• 6: Превышен лимит приема
• 7: Счет превышает котировку
• 8: Неудовлетворительный отчет PTR
• 9: Получателя не существует
• 10: Политика обслуживания клиентов
• 12: Нарушение RFC
• 13: Откровенный спам
• 14: Отказ в обслуживании
• 15: Вредоносные или спам-ссылки
• 16: Низкая репутация IP-адреса
• 17: Низкая репутация в домене
• 18: IP-адрес, внесенный в публичный список блокировки в режиме реального времени.
• 19: Временно отклонено из-за ограничений DOS.
• 20: Окончательно отклонено из-за ограничений DOS.

Тип соединения с SMTP-сервером. Устанавливается только для журналов событий, которые явно обрабатывают SMTP-соединения. Значения:

• 0: Не TLS
• 1: TLS

message_connection_info.smtp_user_agent_ip

message_info.destination.rcpt_response

Подкатегория для каждой услуги. Для определения значений перейдите к message_info.destination.service .

Служба, на которой было отправлено сообщение. Существует множество пар «служба и селектор» для обозначения получателей. Вы можете использовать эти два поля, чтобы определить, какой службе было отправлено сообщение.

Только для входящих сообщений. Если установлено значение, указывает на попытку расшифровки S/MIME для данного получателя. Значение указывает на статус завершения. Не устанавливается, если попытка пропущена.

Только для входящих сообщений. Если установлено значение, указывает на попытку извлечения S/MIME для данного получателя. Значение указывает на статус завершения. Не устанавливается, если попытка пропущена.

Только для входящих сообщений. Если установлено значение, указывает на попытку анализа S/MIME для данного получателя. Значение указывает на статус завершения. Не устанавливается, если пропущено.

Только для входящих сообщений. Если установлено значение, указывает на то, что для данного получателя была предпринята попытка проверки подписи S/MIME. Значение указывает на статус завершения. Не устанавливается, если проверка пропущена.

Строка, содержащая информацию обо всех получателях в сжатом виде, в следующем формате:
"service_for_recipient1:selector_for_recipient1:address_for_recipient1,
service_for_recipient2:selector_for_recipient2:address_for_recipient2"

Значение True, если правила политики были оценены для отправителя (сообщение было обработано для исходящей доставки). Значение False, если правила политики были оценены для получателя (сообщение было обработано для входящей доставки).

Тип набора сообщений, к которому относится сообщение. Для получения дополнительной информации перейдите в раздел message_info.message_set.type .

Типы наборов сообщений — это атрибуты, описывающие сообщение. Например, является ли сообщение входящим, исходящим или внутренним. Возможные значения:

1: Сообщение входящее (получено извне ваших доменов). Этот набор сообщений не отображается с набором сообщений 10 .

2: Сообщение является исходящим (отправлено получателю за пределами ваших доменов). Этот набор сообщений не отображается с набором сообщений 10 .

4: Сообщение содержит неприемлемый контент, как это определено одной из ваших политик.

6: Сообщение активировало правило «закрытой экосистемы», которое вы настроили для ограничения доступа к сообщениям только для авторизованных адресов или доменов.

7: Gmail классифицировал сообщение как спам.

8: Отправляемое сообщение (исходящее сообщение)

9: Получение сообщения (входящее сообщение)

10: Сообщение, являющееся внутренним для ваших доменов.

11: У сообщения есть отправитель или получатели за пределами вашего домена. Для полученных сообщений: если отсутствует набор сообщений 27, отправитель не может быть аутентифицирован. Сообщение рассматривается как имеющее отправителя за пределами вашего домена.

12: Сообщение имеет получателей как внутри вашего домена, так и за его пределами. Этот набор сообщений может появиться в следующих случаях:

• Получателей несколько.
• Отправляется сообщение. Для получения сообщений все получатели должны принадлежать к одному домену.
• Тип действия для сообщения — 2. Сообщения с несколькими получателями разбиваются на сообщения с одним получателем.

13: Тип набора сообщений неизвестен.

15: Проверяемая политика привязана к пользователю Gmail.

18: У сообщения отсутствует маршрут по умолчанию.

19: Настроенный вами список адресов для маршрутизации по умолчанию в домене соответствует соответствующему сообщению.

20: Сообщение отправлено с адреса из вашего списка заблокированных отправителей.

21: Сообщение было отправлено по протоколу TLS, и SSL-сертификат действителен.

22: Сообщение было отправлено по протоколу TLS.

24: Получатель этого сообщения неизвестен

25: Сообщение представляет собой отчет о недоставке, являющийся ответом на сообщение, которое не было доставлено.

26: Сообщение вызвало срабатывание правила перемаршрутизации, которое вы настроили в настройках маршрутизации домена по умолчанию.

27: Отправитель успешно прошел аутентификацию SPF/DKIM/DMARC. Если отправитель не прошел аутентификацию, домен отправителя считается недоверенным, и сообщение не считается внутренним.

28: Журнал обмена архивирует сообщение в Google Vault.

29: Сообщение было передано через SMTP-ретранслятор.

30: Получатель сообщения соответствует одному из перечисленных получателей (вместо шаблона регулярного выражения), которые вы настроили для маршрутизации домена или маршрутизации домена по умолчанию.

31: Сообщение соответствует условию маршрутизации по умолчанию домена, которое вы настроили.

33: Сообщение должно передаваться через защищенное соединение, например, TLS.

34: Проверяемая политика привязана к группе, а не к отдельному пользователю Gmail.

35: Сообщение не удалось аутентифицировать в SMTP-ретрансляторе, поскольку у него пустой адрес отправителя в SMTP-конверте или это, возможно, сообщение журнала обмена. Проверка будет произведена позже во время выполнения команды SMTP RCPT.

36: В сообщении включена агрессивная фильтрация спама.

37: Сообщение аутентифицировано для SMTP-ретранслятора

39: Отправитель из аутентифицированного домена для ретрансляции.

40: Сообщение от пользователя Google Workspace из домена, проходящего аутентификацию для ретрансляции.

41: Отправитель успешно прошел аутентификацию с помощью SMTP AUTH, и Gmail пытается аутентифицировать SMTP-ретранслятор для домена отправителя.

42: Сообщение отправлено с адреса, который не прошел аутентификацию.

43: Сообщение было перенаправлено через таблицу псевдонимов.

44: Сообщение вызвало срабатывание правила, изменяющего маршрут потока почты.

45: Сообщение предназначено для учетной записи общего назначения и пересылается на локальный сервер. Политики системы учета к нему применяться не будут.

46: Сообщение обошло спам-фильтр.

47: Сообщение было распознано как спам на основании информации о доставке и пометке в настройках входящего шлюза.

48: Сообщение не было проверено на спам (по протоколу SMTP) из-за политики игнорирования спама.

49: Всегда игнорируйте отклонение сообщения как спам.

50: Сообщение соответствует настроенному вами условию маршрутизации домена .

51: Сообщение вызвало срабатывание правила перемаршрутизации, которое вы настроили для маршрутизации домена.

57: Сообщение получено от правила входящего шлюза, которое вы настроили.

60: Сообщение защищено конфиденциальным режимом Gmail.

61: Сообщение получено песочницей безопасности.

62: Настроенный вами список адресов для маршрутизации по умолчанию в домене соответствует получателю SMTP-заголовка, а не корреспонденту сообщения.

63: Сообщение вызвало срабатывание правила переадресации на уровне домена, которое вы настроили для маршрутизации домена или маршрутизации по умолчанию домена.

Тип действия после доставки. Возможные значения:

1: Сообщение открыто впервые

2: Сообщение помечено как непрочитанное

3: Сообщение отвечено

4: Сообщение переслано

5: Сообщение автоматически пересылается в соответствии с настройками Gmail.

6: Сообщение перемещено во входящие

7: Сообщение перемещено в корзину

8: Сообщение перемещено из корзины

9: Была нажата ссылка в тексте сообщения.

10: Было загружено одно или несколько вложений к сообщению.

11: При предварительном просмотре вложения была нажата ссылка во вложенном файле.

12: Одно или несколько вложений к сообщению были сохранены в Google Диск.

13: Была нажата ссылка в дополнении.

14: Один или несколько элементов Google Drive из сообщения были загружены.

15: Один или несколько элементов Google Drive из сообщения были сохранены в Google Drive получателя.

16: К сообщению была применена или изменена классификационная метка.

17: К вложениям сообщений была применена или изменена классификационная метка.

18: Сообщение заархивировано

19: Сообщение удалено навсегда

20: Был предварительный просмотр одного или нескольких вложений к сообщению.

21: Получатель заблокировал отправителя сообщения.

22: Сообщение сохранено как черновик

23: Просмотрено сообщение, включая первое и последующие прочтения.

24: Сообщение загружено

25: Приложение получило доступ к сообщению от имени пользователя.

26: Делегату предоставлено право голоса

Тип вредоносного ПО, если оно обнаружено во время обработки сообщения. Если вредоносное ПО не обнаружено, это поле не заполняется. Возможные значения:

1: Известный тип вредоносной программы.

2: Вирус или червь — вредоносное ПО.

3: Возможное вредоносное содержание сообщения

4: Возможное нежелательное содержимое сообщения

5: Другие типы вредоносных программ

Тип сущности, которая была классифицирована. Возможные значения:

1: Текст сообщения

2: Приложение

Тип события классификации. Возможные значения:

1: Метка изменена

2: Новая этикетка нанесена

3: Метка удалена

Тип S/MIME верхнего уровня сообщения, указанный в заголовке Content-Type:. Возможные значения:

0: Сообщение не имеет распознанного S/MIME Content-Type.

1: Сообщение S/MIME с отсоединенной подписью, обозначенное типом содержимого multipart/signed с параметром protocol=application/pkcs7-signature.

2: Сообщение S/MIME с непрозрачной подписью, указанной типом содержимого application/pkcs7-mime или application/x-pkcs7-mime с параметром smime-type=signed-data

3: Зашифрованное сообщение S/MIME, обозначенное типом содержимого application/pkcs7-mime или application/x-pkcs7-mime с параметром smime-type=enveloped-data

4: Сжатое сообщение S/MIME, обозначенное типом содержимого application/pkcs7-mime или application/x-pkcs7-mime с параметром smime-type=compressed-data

Только для исходящих сообщений. Если установлено значение true, это означает, что сообщение должно быть зашифровано.

Если задано, указывает на то, что обработка входящего S/MIME-кода завершилась. Если обработка пропущена, значение не задано. Значение указывает на статус завершения. Примечание: В настоящее время не задано.

Только для исходящих сообщений. Если установлено значение, указывает на попытку упаковки S/MIME. Если пропущено, значение не устанавливается. Значение указывает на статус завершения.

Если Gmail отклоняет запрос на пересылку SMTP-пакета, этот код ошибки предоставляет информацию о причине отклонения. Возможные значения:

1: Ошибка аутентификации

2: Превышен суточный лимит ставок.

3: Превышен лимит пиковой скорости.

4: Злоупотребление ретрансляцией SMTP

5: Превышен лимит запросов на одного пользователя.

В поле From: отображаемое имя, как оно указано в заголовках сообщения, например, John Doe. Это поле может быть усечено, если запись в журнале слишком длинная или если в журнале слишком много сработавших правил (triggered_rule_info).

Подкатегория исходного сервера. Описание значений см. в message_info.source.service .

Служба-источник сообщения. Используйте эти два поля, чтобы определить, какая служба отправила сообщение и почему оно было сгенерировано.

Причина, по которой сообщение было классифицировано как спам, фишинг или иная категория. Возможные значения:

1: Причина классификации спама по умолчанию

2: Сообщение классифицировано на основании предыдущих действий отправителя.

3: Подозрительное содержание

4: Подозрительная связь

5: Подозрительная привязанность

6: Пользовательская политика, определенная в настройках Google Workspace Gmail.

7: DMARC

8: Домен в общедоступных RBL-списках

9: Нарушение стандартов RFC

10: Нарушение правил Gmail

11: Вердикт по машинному обучению

12: Репутация отправителя

13: Откровенный спам

14: Расширенная защита от фишинга и вредоносных программ.

Результат классификации спама в Gmail. Возможные значения:

1: Не спам и не вредоносное ПО.

2: Спам

3: Фишинг

4: Подозрительный

5: Вредоносное ПО

Категория MIME-типа. Возможные значения:

1: Нераспознанный тип файла

2: Документы Microsoft Office, включая текстовые редакторы, электронные таблицы, презентации и базы данных. Включает файлы PDF. Файл может быть зашифрован, а может и нет.

3: Видео и мультимедиа, например, MPEG, Quicktime или WMV.

4: Музыка и аудио, например, MP3, AAC и WAV.

5: Изображения, например, в форматах JPEG, BMP или GIF.

6: Архивы, например, ZIP, TAR или TGZ.

7: Исполняемые файлы, например EXE, COM или JS.

8: Зашифрованные офисные документы

9: Офисные документы, не зашифрованные

Action taken for the consequence. Possible values:

0: Consequence is a no-op

3: Put message in Admin Quarantine

4: Modify the primary delivery target

5: Add a delivery target

6: Added a message header

7: Overwrite the envelope recipient

9: Add message to specified message set

10: Modify the message labels

11: Prefix text to message subject

12: Add a footer to the message

13: Strip the message body

14: Store a copy of the message in the user's mailbox, according to comprehensive mail storage setting

15: Replace attachment with canned text

16: Require secure message delivery

17: Message can't be delivered and bounced

18: Archive to Google Vault for recipients

20: Encrypt outbound message using S/MIME

21: Change the recipient user when message is received at SMTP

Custom rule type. Possible values:

0: Walled garden

7: Objectionable content

8: Content compliance

10: Received mail routing

11: Sent mail routing

12: Spam override

14: Blocked senders

15: Append footer

16: Attachment compliance

17: TLS compliance

18: Domain default routing

19: Inbound email journal acceptance in Vault

20: Outbound relay

21: Quarantine summary

22: Alternate secure route

23: Alias table

24: Comprehensive mail storage

25: Routing rule

26: Inbound gateway

27: S/MIME

28: Third-party email archiving

Describes the custom rule spam classification results. Possible values:

0: No action —The rule honored the Gmail spam classification outcome

1: Spam —The rule classified the message as spam

2: Not spam —the rule classified the message as not spam

Name of the attachment where a matching string was found in the text extracted from a binary file. Note: This field is currently not populated.

Match expression set in the Admin console. This field may be truncated if the log is too long, or the number of triggered rules (triggered_rule_info) in the log is too big.

String that triggered the rule. Sensitive information is hidden by * or . This field might be truncated if the log is too long, or the number of triggered rules (triggered_rule_info) in the log is too large.

Location of the string matched in the message. Possible values:

0: Unknown

1: Message body, including text format attachments

2: Binary format attachments

3: Message headers

4: Subject

5: Sender header

6: Recipient header

7: Raw message

Type of match. Possible values:

• 0: Не определено
• 1: Regular expression match
• 2: Predefined detector match
• 3: Simple content match
• 4: Non-ASCII match

Error encountered while uploading the message to the destination. Possible values:

• 0: Uncategorized transient error
• 1: Recipient account is too busy
• 2: DNS error resolving recipient domain
• 3: Recipient's server refused connection
• 4: Recipient is out of storage