Схема для журналов Gmail в BigQuery

event_info.client_context.client_type

Зарегистрированный тип события. Тип события соответствует атрибуту "Событие" событий журнала Gmail в инструменте "Анализ безопасности". Возможные значения:

0 – неизвестный тип события электронной почты.

1 – сообщение отправлено.

2 – сообщение получено.

3 – пользователь Gmail вручную классифицировал сообщение как спам, например пометил его как спам или фишинговое сообщение или указал, что это не спам.

4 – система Gmail пометила сообщение как спам после доставки. Причин может быть несколько, включая плохую репутацию отправителя или новые хеши вируса.

5 – сообщение в карантине.

6 – сообщение перемещено из карантина.

7 – сообщение открыто в первый раз.

8 – сообщение помечено как непрочитанное.

9 – на сообщение в первый раз отправлен ответ.

10 – сообщение переслано в первый раз.

11 – сообщение переслано автоматически, так как в настройках аккаунта Gmail включена переадресация электронной почты.

12 – сообщение перемещено в папку "Входящие".

13 – сообщение перемещено в корзину.

14 – сообщение удалено из корзины.

15 – пользователь нажал на ссылку в тексте сообщения.

16 – пользователь нажал на ссылку в прикрепленном файле во время его просмотра.

17 – скачан один или несколько прикрепленных файлов.

18 – один или несколько прикрепленных файлов сохранены на Google Диске.

19 – один или несколько файлов Google Диска в сообщении сохранены на Google Диске получателя.

20 – к сообщению применен ярлык классификации.

21 – ярлык классификации сообщения изменен.

22 – ярлык классификации удален из сообщения.

23 – ко всем прикрепленным файлам сообщения применен ярлык классификации.

24 – ярлык классификации для всех прикрепленных файлов сообщения изменен.

25 – ярлык классификации удален из всех прикрепленных файлов сообщения.

26 – сообщение архивировано.

27 – сообщение удалено навсегда.

28 – просмотрен один или несколько прикрепленных файлов.

29 – сообщение сохранено как черновик.

30 – сообщение не доставлено и возвращено.

31 – сообщение просмотрено, включая первый и последующие случаи чтения. Подробную информацию об известной проблеме с iOS можно найти в статье Известные проблемы с Google Workspace.  

32 – сообщение скачано.

33 – приложение получило доступ к сообщению от имени пользователя.

34 – права делегированы.

Примечание. Операции экспорта BiqQuery, выполненные в период с апреля по июль 2024 года, не включают данные о событиях просмотра, зарегистрированных с апреля 2024 года до даты, когда вы запустили экспорт. Операции экспорта BigQuery, выполненные в августе 2024 года и позднее, включают данные о событиях просмотра за 6 месяцев до даты включения экспорта.

True, если событие прошло успешно; в противном случае – false. Например, значение false появится, если сообщение было отклонено согласно правилу.

Действие доставки, которое представлено в событии. Возможные значения:

1 – сообщение получено SMTP-сервером для входящей почты.

2 – сообщение принято Gmail и подготовлено к доставке. Данный этап, как правило, следует после этапа 1, а при отправлении сообщения из Gmail является первым. На этом этапе обычно оценивается соответствие входящих сообщений правилам, которые приводят к отклонению, в частности соответствие требованиям к прикрепленным файлам.

3 – система Gmail выполнила действие с сообщением, например доставила его в почтовый ящик Gmail или на другой сервер. Данный этап, как правило, следует после этапа 2. Проводится оценка соответствия правилам, не приводящим к отклонению, например тем, согласно которым удаляются прикрепленные файлы определенных типов.

10 – сообщение отправлено SMTP-сервером для исходящей почты.

14 – произошла временная ошибка при попытке Gmail доставить сообщение; запланирована повторная доставка. Причина, как правило, заключается в том, что внешние или внутренние серверы, к которым обращается Gmail, временно недоступны. Повторите попытку позже. Пример: при попытке доставить сообщение на внешний SMTP-сервер возникла временная ошибка.

18 – сообщение не доставлено и возвращено. Иногда суть проблемы изложена в message_info.description. Ниже приведен список распространенных причин.

• Сервер получателя не принял запрос.

• Сообщение не доставлено из-за слишком большого количества временных ошибок (см. описание значения 14 в этой таблице).

• Сообщение отклонено, поскольку оценка соответствия правилам была отложена.

• Не удалось распознать получателя, а правило для изменения первичного маршрута доставки не активировано.

19 – сообщение удалено Gmail. Ниже приведен список распространенных причин.

• Если сообщение подлежит отправке в карантин, оригинал удаляется, а копия сообщения появляется в административном карантине.

• При доставке зарегистрированных в журнале сообщений доставляется внутреннее упакованное сообщение, а оригинал удаляется.

• Gmail может блокировать и удалять входящие сообщения, в частности, в следующих случаях:

  • сообщение не соответствует протоколу RFC 5322;

  • отправитель не следовал рекомендациям по осуществлению массовых рассылок.

• Если первичный маршрут доставки удален согласно правилу и добавлены другие маршруты, оригинал сообщения удаляется, а по добавленным маршрутам осуществляется доставка копий.

• Если адрес получателя не удалось распознать и согласно правилу добавлены дополнительные маршруты, оригинал сообщения удаляется, а по добавленным маршрутам осуществляется доставка копий.

45 – сообщение принято подсистемой Google Групп для доставки.

46 – письмо адресовано группе Google и доставлено всем участникам группы, у которых включена доставка сообщений.

48 – сообщение получено SMTP-сервером для ретрансляции входящей почты.

49 – сообщение отправлено SMTP-сервером для исходящей почты через службу ретрансляции.

51 – сообщение сохранено в хранилище Google Групп.

54 – сообщение отклонено системой хранилища Google Групп.

55 – сообщение повторно принято в Gmail согласно правилам, которые изменяют первичный маршрут доставки или получателя конверта.

68 – сообщение принято Gmail и подготовлено к доставке. Это действие аналогично действию 2, но отличается тем, что сообщение принято от сервера Gmail.

69 – пользователь изменил классификацию сообщения как спама в Gmail. Например, пользователь отметил сообщение как спам, фишинг или не спам.

70 – после доставки сообщения в Gmail оно было отнесено к категории спама или фишинга.

71 – пользователь выполнил действие в папке "Входящие" после получения письма, например открыл письмо, нажал на ссылку в нем или скачал прикрепленный файл. В экспортированных данных BigQuery есть сведения о действии.

Информация о прикрепленных к сообщению файлах. Запись повторяется для каждого прикрепленного файла.

Категория вредоносного ПО в случае обнаружения. Значение поля не задано, если при обработке сообщения вредоносное ПО не обнаружено. Возможные значения:

• 1 – известный тип вредоносной программы;
• 2 – вирус или червь;
• 3 – содержимое электронного письма может нанести вред;
• 4 – содержимое электронного письма может быть нежелательным;
• 5 – другие типы вредоносного ПО.

Тип аутентификации сообщения (например, SPF, DKIM). Возможные значения:

• 1 – SPF
• 2 – DKIM
• 3 – DKIM_PROXY
• 4 – XOAR_SPF
• 5 – XOAR_DKIM
• 6 – ARC_SPF
• 7 – ARC_DKIM

Код ответа SMTP для входящих и исходящих SMTP-соединений. Как правило, 2xx, 4xx или 5xx.

Подробное обоснование кода ответа SMTP для входящих соединений. Возможные значения:

• 1 – стандартная причина, по которой сообщения принимаются или отклоняются;
• 3 – вредоносное ПО;
• 4 – правило DMARC;
• 5 – вложение не поддерживается Gmail;
• 6 – превышен лимит на количество входящих сообщений;
• 7 – превышена квота для аккаунта;
• 8 – сообщение о недопустимом значении PTR;
• 9 – получатель не существует;
• 10 – правила клиента;
• 12 – нарушение правил RFC;
• 13 – явный спам;
• 14 – отказ в обслуживании;
• 15 – вредоносные или спам-ссылки;
• 16 – подозрительный IP-адрес;
• 17 – подозрительный домен;
• 18 – IP-адрес указан в общедоступном списке заблокированных адресов, который обновляется в реальном времени;
• 19 – временно отклонено из-за ограничений, связанных с защитой от атак типа "отказ в обслуживании";
• 20 – навсегда отклонено из-за ограничений, связанных с защитой от атак DoS.

Тип подключения к SMTP-серверу. Настроено только для журналов событий, которые явным образом обрабатывают SMTP-соединения. Значения:

• 0 – не TLS;
• 1 – TLS.

message_connection_info.smtp_user_agent_ip

message_info.destination.rcpt_response

Отдельная подкатегория для каждого сервиса. Определения значений приведены в описании поля message_info.destination.service.

Сервис, в который отправлено сообщение. Существует множество подобных комбинаций сервисов и селекторов. Эти два поля помогут определить нужный сервис.

Применяется только к входящим сообщениям. Если значение задано, это указывает на попытку расшифровки S/MIME для данного получателя. Значение указывает на статус выполнения. В случае пропуска не задано.

Применяется только к входящим сообщениям. Если значение задано, это указывает на попытку извлечения S/MIME для данного получателя. Значение указывает на статус выполнения. В случае пропуска не задано.

Применяется только к входящим сообщениям. Если значение задано, это указывает на попытку синтаксического анализа S/MIME для данного получателя. Значение указывает на статус выполнения. В случае пропуска не задано.

Применяется только к входящим сообщениям. Если значение задано, это указывает на попытку подтверждения подписи S/MIME для данного получателя. Значение указывает на статус выполнения. В случае пропуска не задано.

В строке сведена информация обо всех получателях в формате:
service_for_recipient1:selector_for_recipient1:address_for_recipient1,
service_for_recipient2:selector_for_recipient2:address_for_recipient2.

True, если проводилась оценка соответствия правилам для отправителя, т. е. сообщение было обработано для отправки. False, если проводилась оценка соответствия правилам для получателя, т. е. для входящих сообщений.

Тип пакета, к которому относится данное сообщение. Подробные сведения см. в описании поля message_info.message_set.type.

Типы пакетов сообщений являются атрибутами, которые описывают сообщения как, например, входящие, исходящие или внутренние. Возможные значения:

1 – сообщение является входящим, т. е. получено от отправителя за пределами ваших доменов. Этот пакет сообщений не отображается одновременно с пакетом 10.

2 – сообщение является исходящим, т. е. отправлено получателю за пределами ваших доменов. Этот пакет сообщений не отображается одновременно с пакетом 10.

4 – сообщение содержит нежелательный контент, который определяется одним из ваших правил.

6 – сообщение соответствует заданному вами правилу закрытой экосистемы, которое запрещает обмен сообщениями с неавторизованными адресами и доменами.

7 – сообщение отмечено Gmail как спам.

8 – отправляемое сообщение; исходящее сообщение.

9 – получаемое сообщение; входящее сообщение.

10 – внутреннее сообщение в пределах ваших доменов.

11 – отправитель или получатели сообщения находятся за пределами ваших доменов. Для полученных сообщений: при отсутствии пакета 27 означает, что не удалось выполнить аутентификацию отправителя. Сообщение отнесено к почте, отправитель которой находится за пределами вашего домена.

12 – одна часть получателей сообщения находятся в пределах вашего домена, другая – за его пределами. Этот пакет сообщений появляется только в указанных ниже случаях.

• У сообщения несколько получателей.
• Сообщение отправляется. Все получатели входящего сообщения должны принадлежать к одному домену.
• Тип действия сообщения – 2. Впоследствии сообщения с несколькими получателями разделяются на сообщения с одним получателем.

13 – тип пакета сообщений неизвестен.

15 – правило, по которому выполняется проверка, связано с пользователем Gmail.

18 – сообщение не соответствует правилам маршрутизации по умолчанию.

19 – корреспондент сообщения присутствует в списке адресов, заданном для маршрутизации по умолчанию в домене.

20 – сообщение поступило с адреса из списка заблокированных отправителей.

21 – сообщение отправлено по протоколу TLS с действительным SSL-сертификатом.

22 – сообщение отправлено по протоколу TLS.

24 – получатель сообщения неизвестен.

25 – сообщение является отчетом о недоставке отправленного сообщения.

26 – сообщение соответствует правилу переадресации, заданному для маршрутизации по умолчанию в домене.

27 – аутентификация SPF/DKIM/DMARC отправителя прошла успешно. В противном случае домен отправителя не является доверенным, а сообщение не будет считаться внутренним.

28 – журнал Exchange архивирует сообщение в Google Сейфе.

29 – сообщение перенаправлено через ретранслятор SMTP.

30 – получатель сообщения соответствует явно указанному адресу получателя (а не регулярному выражению), заданному для маршрутизации или маршрутизации по умолчанию в домене.

31 – сообщение соответствует условию, заданному для маршрутизации по умолчанию в домене.

32 – сообщение создано из сообщения журнала Exchange для архивации в Google Сейфе.

33 – сообщение должно быть передано с использованием защищенного подключения (например, по протоколу TLS).

34 – правило, по которому выполняется проверка, связано с группой, а не с пользователем Gmail.

35 – не удалось выполнить аутентификацию сообщения в ретрансляторе SMTP, так как у него отсутствует адрес envelope-from в SMTP или оно, возможно, является сообщением журнала Exchange. Оно будет проверено позже при выполнении команды RCPT протокола SMTP.

36 – для сообщения включена строгая фильтрация спама.

37 – выполнена аутентификация сообщения для ретранслятора SMTP.

39 – отправитель из домена, прошедшего аутентификацию для ретранслятора.

40 – сообщение от пользователя Google Workspace из домена, который проходит аутентификацию для ретранслятора.

41 – отправитель успешно прошел аутентификацию SMTP, и Gmail пытается выполнить аутентификацию ретранслятора SMTP для домена отправителя.

42 – сообщение отправлено с адреса, не прошедшего аутентификацию.

43 – сообщение перенаправлено с помощью таблицы псевдонимов.

44 – сообщение соответствует правилу, изменяющему почтовый маршрут.

45 – сообщение отправлено в аккаунт для приема всей почты домена и ретранслируется на локальный сервер. К нему не будут применяться правила системы учета.

46 – к сообщению не применялся спам-фильтр.

47 – сообщение классифицировано как спам согласно информации о тегах и доставке в настройках шлюза входящей почты.

48 – сообщение не было проверено на наличие спама (согласно протоколу SMTP) в соответствии с правилом переопределения спама.

49 – всегда переопределять настройки отклонения спама для сообщения.

50 – сообщение соответствует заданному условию маршрутизации в домене.

51 – сообщение соответствует правилу переадресации, заданному для маршрутизации в домене.

55 – сообщение сгенерировано настройкой создания журнала Exchange.

57 – сообщение получено из шлюза входящей почты согласно настроенному правилу.

60 – сообщение защищено конфиденциальным режимом Gmail.

61 – сообщение получено и помещено в безопасную тестовую среду.

62 – в списке адресов, заданном для маршрутизации по умолчанию в домене, присутствует адрес получателя конверта SMTP, а не адрес отправителя сообщения.

63 – сообщение соответствует правилу переадресации уровня домена, заданному для маршрутизации или маршрутизации по умолчанию в домене.

Тип действия после доставки. Возможные значения:

1 – сообщение открыто в первый раз.

2 – сообщение помечено как непрочитанное.

3 – отправлен ответ на сообщение.

4 – сообщение переслано.

5 – сообщение переслано автоматически системой Gmail.

6 – сообщение перемещено в папку "Входящие".

7 – сообщение перемещено в корзину.

8 – сообщение восстановлено из корзины.

9 – пользователь нажал на ссылку в тексте сообщения.

10 – скачан один или несколько прикрепленных файлов.

11 – пользователь нажал на ссылку в прикрепленном файле во время его предварительного просмотра.

12 – один или несколько прикрепленных файлов сохранены на Google Диске.

13 – пользователь нажал на ссылку в дополнении.

14 – скачаны один или несколько объектов Google Диска в сообщении.

15 – один или несколько объектов Google Диска в сообщении сохранены на Google Диске получателя.

16 – ярлык классификации применен к сообщению или изменен.

17 – ярлык классификации применен к прикрепленным файлам или изменен.

18 – сообщение архивировано.

19 – сообщение удалено навсегда.

20 – предварительный просмотр одного или нескольких прикрепленных файлов.

21 – получатель заблокировал отправителя сообщения.

22 – сообщение сохранено как черновик.

23 – сообщение просмотрено, включая первый и последующие случаи чтения.

24 – сообщение скачано.

25 – приложение получило доступ к сообщению от имени пользователя.

26 – права делегированы.

Тип вредоносного ПО, если оно было обнаружено при обработке сообщения. Если такое ПО не обнаружено, значение этого поля не задается. Возможные значения:

1 – известный тип вредоносной программы.

2 – вирус или червь.

3 – содержимое сообщения может нанести вред.

4 – содержимое сообщения может быть нежелательным.

5 – другие типы вредоносного ПО.

Тип объекта, к которому применена классификация. Возможные значения:

1 – текст письма.

2 – прикрепленные файлы.

Тип события классификации. Возможные значения:

1 – ярлык изменен.

2 – применен новый ярлык.

3 – ярлык удален.

Тип сообщения по стандарту S/MIME верхнего уровня согласно типу содержания, указанному в заголовке. Возможные значения:

0 – в сообщении не определено содержание типа S/MIME.

1 – S/MIME-сообщение с отделенной подписью, содержание которого указано как multipart/signed с параметром protocol=application/pkcs7-signature.

2 – S/MIME-сообщение с непрозрачной подписью, содержание которого указано как application/pkcs7-mime или application/x-pkcs7-mime с параметром smime-type=signed-data.

3 – зашифрованное S/MIME-сообщение, содержание которого указано как application/pkcs7-mime или application/x-pkcs7-mime с параметром smime-type=enveloped-data.

4 – сжатое S/MIME-сообщение, содержание которого указано как application/pkcs7-mime или application/x-pkcs7-mime с параметром smime-type=compressed-data.

Применяется только к исходящим сообщениям. Если задано значение true, сообщение должно быть зашифровано.

Если значение задано, это означает, что была проведена обработка входящих S/MIME-сообщений. В случае пропуска не задано. Значение указывает на статус выполнения. Примечание. В настоящее время не задано.

Применяется только к исходящим сообщениям. Если значение задано, это указывает на попытку создания пакета S/MIME-сообщений. В случае пропуска не задано. Значение указывает на статус выполнения.

Если запрос ретранслятора SMTP отклонен Gmail, код ошибки предоставляет дополнительную информацию о причине отклонения. Возможные значения:

1 –ошибка аутентификации.

2 – превышено ограничение на количество сообщений за день.

3 – превышено ограничение на пиковое количество сообщений.

4 – недопустимое использование ретранслятора SMTP.

5 – превышено ограничение на количество сообщений для одного пользователя.

Отображаемое имя в заголовке "От" в том же виде, что и в заголовках сообщений (например, John Doe). Это поле может быть усечено, если журнал слишком длинный или содержит слишком много активированных правил (triggered_rule_info).

Подкатегория исходного сервера. Описания значений приведены в описании поля message_info.source.service.

Исходный сервис сообщения. Эти два поля помогут определить, из какого сервиса отправлено сообщение и по какой причине оно было создано.

Причина, по которой сообщение было отмечено как спам, фишинг и т. д. Возможные значения:

1 – классифицировано как спам согласно настройкам по умолчанию.

2 – сообщение классифицировано таким образом из-за прошлых действий пользователя.

3 – подозрительный контент.

4 – подозрительная ссылка.

5 – подозрительный прикрепленный файл.

6 – специальное правило, определенное в настройках Gmail в Google Workspace.

7 – DMARC.

8 – домены в общедоступных черных списках.

9 – нарушение стандартов RFC.

10 – нарушение политики Gmail.

11 – решение на основе машинного обучения.

12 – репутация отправителя.

13 – явный спам.

14 – Расширенные настройки для защиты от фишинга и вредоносного ПО.

Результат классификации спама Gmail. Возможные значения:

1 – не является спамом или вредоноснім ПО.

2 – спам.

3 – фишинг.

4 – подозрительное сообщение.

5 – вредоносное ПО.

Категория MIME-типа. Возможные значения:

1 – нераспознанный тип файла.

2 – документы Microsoft Office, например текстовые файлы, таблицы, презентации, базы данных или PDF-файлы. Файл может быть или не быть зашифрован.

3 – видео и мультимедиа, например MPEG, Quicktime или WMV.

4 – музыка и аудио, например MP3, AAC или WAV.

5 – изображения, например JPEG, BMP или GIF.

6 – архивы, например ZIP, TAR или TGZ.

7 – исполняемые файлы, например EXE, COM или JS.

8 – зашифрованные документы Office.

9 – незашифрованные документы Office.

Предпринятые в качестве последствия действия. Возможные значения:

0 – не выполняется никаких действий.

3 – сообщение помещено в административный карантин.

4 – изменена основная цель доставки.

5 – добавлена цель доставки.

6 – добавлен заголовок сообщения.

7 – перезаписан получатель конверта.

9 – сообщение добавлено в определенный пакет.

10 – изменены ярлыки сообщения.

11 – добавлен префикс темы сообщения.

12 – к сообщению добавлен нижний колонтитул.

13 – удален текст сообщения.

14 – копия сообщения сохранена в почтовом ящике пользователя согласно настройкам комплексного хранения почты.

15 – прикрепленный файл заменен на шаблон ответа.

16 – использована безопасная доставка сообщений.

17 – сообщение не доставлено и отклоняется.

18 – сообщение архивировано в Google Сейфе для получателей.

20 – исходящее сообщение зашифровано по стандарту S/MIME.

21 – получатель изменен при поступлении сообщения на SMTP-сервер.

Тип специального правила. Возможные значения:

0 – закрытая экосистема.

7 – нежелательное содержание.

8 – соответствие содержания.

10 – маршрутизация полученных сообщений.

11 – маршрутизация отправленных сообщений.

12 – не спам (переопределение).

14 – заблокированные отправители.

15 – добавление нижнего колонтитула.

16 – требования к прикрепленным файлам.

17 – совместимость с протоколом TLS.

18 – маршрутизация на уровне домена по умолчанию.

19 – поступление входящих электронных писем журнала в Сейф.

20 – ретранслятор исходящих сообщений.

21 – сводка карантина.

22 – альтернативный защищенный маршрут.

23 – таблица псевдонимов.

24 – комплексное хранение почты.

25 – правило маршрутизации.

26 – шлюз входящей почты.

27 – S/MIME.

28 – архивирование электронной почты с помощью сторонних приложений.

Описание результатов по классификации спама на основании специального правила. Возможные значения:

0 – действие не требуется: правило не вступает в конфликт с решением Gmail по классификации спама.

1 – спам: согласно правилу, сообщение относится к спаму.

2 – не спам: согласно правилу, сообщение не относится к спаму.

Название прикрепленного файла, в котором обнаружена соответствующая строка (в извлеченном из двоичного файла тексте). Примечание. На данный момент это поле не сформировано.

Выражение соответствия, заданное в консоли администратора. Это поле может быть усечено, если журнал слишком длинный или содержит слишком много активированных правил (triggered_rule_info).

Строка, активировавшая правило. Конфиденциальная информация скрыта при помощи символа * или . Это поле может быть усечено, если журнал слишком длинный или содержит слишком много активированных правил (triggered_rule_info).

Расположение соответствующей строки в сообщении. Возможные значения:

0 – неизвестно.

1 – текст сообщения, включая прикрепленные файлы в формате текста.

2 – прикрепленные файлы в двоичном формате.

3 – заголовки сообщений.

4 – тема.

5 – заголовок "Отправитель".

6 – заголовок "Получатели".

7 – необработанное сообщение.

Тип соответствия. Возможные значения:

• 0 – нет данных.
• 1 – соответствие регулярному выражению.
• 2 – соответствие стандартному детектору.
• 3 – соответствие по простому содержанию.
• 4 – соответствие по кодировке, отличной от ASCII.

Не удалось загрузить сообщение согласно назначению. Возможные значения:

• 0 – неизвестная временная ошибка.
• 1 – аккаунт получателя перегружен.
• 2 – ошибка DNS при обнаружении домена получателя.
• 3 – сервер получателя отказывается устанавливать соединение.
• 4 – исчерпана квота хранилища получателя.