Skema untuk log Gmail di BigQuery

event_info.client_context.client_type

Benar jika peristiwa berhasil, dan salah jika tidak berhasil. Misalnya, nilainya salah jika pesan ditolak oleh kebijakan.

Tindakan pengiriman pesan yang diwakili peristiwa. Nilai yang memungkinkan:

1: Pesan diterima oleh server SMTP masuk.

2: Pesan diterima oleh Gmail dan disiapkan untuk pengiriman. Langkah ini biasanya setelah langkah 1, atau langkah pertama jika Anda mengirim dari Gmail. Untuk pesan masuk, kebijakan dengan kualitas penolakan biasanya dievaluasi di sini. Misalnya, kebijakan kepatuhan lampiran yang menolak pesan masuk.

3: Gmail menindaklanjuti pesan. Misalnya, dikirim ke kotak surat Gmail atau dikirim ke server lainnya. Langkah ini biasanya setelah langkah 2. Kebijakan dengan disposisi selain penolakan dievaluasi di sini. Misalnya, kebijakan kepatuhan lampiran yang menghapus lampiran berdasarkan jenis file atau kriteria lainnya.

10: Pesan dikirim oleh server SMTP keluar.

14: Terjadi error sementara saat Gmail mencoba mengirim pesan, dan pesan telah dijadwalkan untuk dicoba lagi. Hal ini biasanya disebabkan oleh server eksternal atau internal yang tidak tersedia untuk sementara. Coba lagi nanti. Misalnya, Gmail mengirim pesan ke server SMTP eksternal, tetapi mendapatkan balasan error sementara.

18: Pesan tidak dapat dikirim dan terpental. Terkadang Anda dapat mengetahui apa yang terjadi dengan membaca message_info.description. Hal ini biasanya disebabkan oleh hal berikut:

• Server penerima tidak menyetujui permintaan

• Pesan tidak dapat dikirim karena terlalu banyak error sementara yang muncul (buka langkah 14 dalam tabel ini)

• Pesan ditolak karena ada evaluasi kebijakan yang ditangguhkan

• Penerima tidak dikenal dan tidak ada kebijakan yang dipicu untuk mengubah rute pengiriman utama

19: Pesan dihapus oleh Gmail. Hal ini biasanya disebabkan oleh hal berikut:

• Jika pesan yang dikirim memicu konsekuensi karantina admin, pesan asli akan dihapus dan salinan pesan akan ditambahkan ke Karantina Admin

• Untuk pesan penjurnalan, pesan dalam yang digabungkan akan dikirim, namun pesan asli akan dihapus

• Untuk pesan masuk, Gmail dapat memblokir dan menghapus pesan jika, misalnya:

  • Pesan tidak sesuai dengan RFC 5322

  • Pengirim melanggar panduan pengirim massal

• Jika kebijakan menghapus rute pengiriman utama dan menambahkan rute lain, pesan asli akan dihapus dan salinan akan dikirimkan ke rute yang ditambahkan

• Jika penerima adalah alamat yang tidak dikenal dan ada kebijakan yang menambahkan rute lain, pesan asli akan dihapus dan salinan akan dikirimkan ke rute yang ditambahkan

45: Pesan diterima untuk pengiriman oleh subsistem Google Grup

46: Alamat penerima pesan adalah grup Google, dan penerima diperluas ke setiap anggota grup Google yang pengiriman pesannya diaktifkan

48: Pesan diterima oleh server SMTP masuk untuk relai.

49: Pesan dikirim melalui relai oleh server SMTP keluar.

51: Pesan ditulis ke penyimpanan Google Grup.

54: Pesan ditolak oleh sistem penyimpanan Google Grup

55: Pesan dimasukkan ulang ke Gmail oleh kebijakan yang mengubah rute pengiriman utama atau alamat pengiriman

68: Pesan diterima oleh Gmail dan disiapkan untuk pengiriman. Ini mirip dengan 2, tetapi pesan dikirim melalui server Gmail

69: Pengguna mengubah klasifikasi spam pesan di Gmail. Misalnya, pengguna menandainya sebagai spam, phishing, atau bukan spam.

70: Pesan diklasifikasikan ulang sebagai spam atau phishing setelah dikirim ke Gmail.

71: Pengguna melakukan tindakan di kotak masuk setelah menerima pesan. Tindakan setelah pengiriman meliputi membuka pesan, mengklik link dalam pesan, dan mendownload lampiran. BigQuery Export mencakup detail tentang tindakan

Informasi tentang lampiran pesan. Data ini diulangi untuk setiap lampiran.

Kategori malware, jika terdeteksi saat pesan ditangani. Kolom ini tidak ditetapkan jika tidak ada malware yang terdeteksi. Nilai yang memungkinkan:

• 1: Malware jenis program berbahaya yang diketahui
• 2: Malware jenis virus atau worm
• 3: Kemungkinan konten email berbahaya
• 4: Kemungkinan konten email tidak diinginkan
• 5: Jenis malware lainnya

Jenis autentikasi pesan (misalnya, SPF, DKIM). Nilai yang memungkinkan:

• 1: SPF
• 2: DKIM
• 3: DKIM_PROXY
• 4: XOAR_SPF
• 5: XOAR_DKIM
• 6: ARC_SPF
• 7: ARC_DKIM

Kode balasan SMTP untuk sambungan SMTP masuk dan keluar. Biasanya 2xx, 4xx, atau 5xx.

Alasan mendetail untuk kode balasan SMTP bagi sambungan masuk. Nilai yang memungkinkan:

• 1: Pesan alasan default diterima atau ditolak
• 3: Malware
• 4. Kebijakan DMARC
• 5: Lampiran tidak didukung oleh Gmail
• 6: Batas penerimaan terlampaui
• 7: Akun melebihi kuota
• 8: Laporan PTR buruk
• 9. Penerima tidak ada
• 10. Kebijakan pelanggan
• 12. Pelanggaran RFC
• 13. Spam yang mencolok
• 14. Denial of service
• 15: Link berbahaya atau spam
• 16. Reputasi IP rendah
• 17: Reputasi domain rendah
• 18: Alamat IP tercantum dalam daftar blokir real-time publik
• 19. Ditolak sementara karena batasan DoS
• 20. Ditolak secara permanen karena batasan DoS

Jenis koneksi yang dibuat ke server SMTP. Hanya ditetapkan untuk log peristiwa yang secara eksplisit menangani koneksi SMTP. Nilai:

• 0: Bukan TLS
• 1: TLS

message_connection_info.smtp_user_agent_ip 

message_info.destination.rcpt_response

Subkategori untuk setiap layanan. Buka message_info.destination.service untuk mengetahui definisi nilai.

Layanan di tujuan pesan. Ada banyak pasangan layanan dan pemilih untuk tujuan. Anda dapat menggunakan dua kolom ini untuk menentukan layanan yang menjadi tujuan pengiriman pesan.

Hanya untuk pesan masuk. Jika ditetapkan, menunjukkan bahwa dekripsi S/MIME dicoba untuk penerima ini. Nilai ini menunjukkan status penyelesaian. Tidak ditetapkan jika dilewati.

Hanya untuk pesan masuk. Jika ditetapkan, menunjukkan bahwa ekstraksi S/MIME dicoba untuk penerima ini. Nilainya menunjukkan status penyelesaian. Tidak ditetapkan jika dilewati.

Hanya untuk pesan masuk. Jika ditetapkan, menunjukkan bahwa penguraian S/MIME dicoba untuk penerima ini. Nilainya menunjukkan status penyelesaian. Tidak ditetapkan jika dilewati.

Hanya untuk pesan masuk. Jika ditetapkan, menunjukkan bahwa verifikasi tanda tangan S/MIME dicoba untuk penerima ini. Nilainya menunjukkan status penyelesaian. Tidak ditetapkan jika dilewati.

String yang berisi semua informasi penerima diratakan, dalam format ini:
“service_for_recipient1:selector_for_recipient1:address_for_recipient1,
service_for_recipient2:selector_for_recipient2:address_for_recipient2”

Benar jika aturan kebijakan dievaluasi untuk pengirim (pesan diproses untuk pengiriman keluar). Salah jika aturan kebijakan dievaluasi untuk penerima (pesan diproses untuk pengiriman masuk).

Jenis kumpulan pesan yang menyertakan pesan tersebut. Buka message_info.message_set.type untuk mengetahui informasi lebih lanjut.

Jenis kumpulan pesan adalah atribut yang menjelaskan pesan. Misalnya, jika pesan masuk, keluar, atau internal. Nilai yang memungkinkan:

1: Pesan masuk (diterima dari luar domain Anda). Kumpulan pesan ini tidak muncul bersamaan dengan kumpulan pesan 10.

2: Pesan keluar (dikirim ke penerima di luar domain Anda). Kumpulan pesan ini tidak muncul bersamaan dengan kumpulan pesan 10.

4: Pesan berisi konten yang tidak pantas, seperti yang ditentukan oleh salah satu kebijakan Anda

6. Pesan memicu aturan walled garden yang Anda konfigurasikan yang membatasi pesan ke alamat atau domain resmi

7: Gmail mengklasifikasikan pesan sebagai spam.

8: Pesan yang dikirim (pesan keluar)

9: Pesan yang diterima (pesan masuk)

10: Pesan yang bersifat internal untuk domain Anda

11: Pesan memiliki pengirim atau penerima di luar domain Anda. Untuk pesan yang diterima: Jika kumpulan pesan 27 tidak ada, pengirim tidak dapat diautentikasi. Pesan diperlakukan sebagai memiliki pengirim di luar domain Anda.

12. Pesan memiliki beberapa penerima di dalam domain Anda dan beberapa penerima di luar domain Anda. Kumpulan pesan ini mungkin muncul jika:

• Ada beberapa penerima
• Pesan sedang dikirim. Untuk pesan yang diterima, penerima harus berasal dari domain yang sama
• Jenis tindakan untuk pesan adalah 2. Pesan dengan beberapa penerima dibagi menjadi pesan penerima tunggal

13: Jenis kumpulan pesan tidak diketahui

15: Kebijakan yang sedang diperiksa terkait dengan pengguna Gmail

18: Pesan tidak memiliki rute default

19: Daftar alamat yang dikonfigurasi untuk perutean default domain cocok dengan koresponden pesan

20: Pesan berasal dari alamat yang termasuk dalam daftar pengirim yang diblokir

21: Pesan dikirim melalui TLS dan sertifikat SSL valid.

22: Pesan dikirim melalui TLS

24: Penerima pesan ini tidak diketahui

25: Pesan adalah laporan tidak terkirim karena ada pesan yang tidak terkirim

26: Pesan memicu aturan pengubahan rute, yang Anda konfigurasikan di perutean default domain

27:  Pengirim berhasil melewati autentikasi SPF/DKIM/DMARC. Jika pengirim tidak diautentikasi, domain pengirim tidak tepercaya dan pesan dianggap bersifat internal.

28: Jurnal Exchange mengarsipkan pesan ke Google Vault

29: Pesan dikirim dengan rute yang melalui relai SMTP

30: Penerima pesan cocok dengan salah satu penerima yang disebutkan (bukan pola ekspresi reguler) yang Anda konfigurasikan untuk perutean domain, atau perutean default domain.

31: Pesan cocok dengan kondisi perutean default domain yang Anda konfigurasikan

32: Pesan dibuat dari pesan jurnal Exchange untuk pengarsipan ke Google Vault.

33: Pesan harus dikirim melalui koneksi yang aman, seperti TLS

34: Kebijakan yang sedang diperiksa terkait dengan grup, bukan pengguna Gmail individu

35: Pesan tidak dapat diautentikasi dalam relai SMTP karena pesan tersebut memiliki alamat amplop pengirim SMTP kosong atau mungkin merupakan pesan Jurnal Exchange. Ini akan diperiksa nanti pada waktu perintah SMTP RCPT.

36: Pesan mengaktifkan pemfilteran spam yang agresif

37: Pesan diautentikasi untuk relai SMTP

39: Pengirim berasal dari domain yang diautentikasi untuk relai

40: Pesan berasal dari pengguna Google Workspace di domain yang diautentikasi untuk relai

41: Pengirim berhasil diautentikasi dengan SMTP AUTH, dan Gmail mencoba mengautentikasi relai SMTP untuk domain pengirim

42: Pesan dikirim dari alamat yang tidak diautentikasi

43: Pesan dirutekan ulang melalui tabel alias

44: Pesan memicu aturan yang mengubah rute alur email

45: Pesan dikirim ke akun catch-all dan sedang direlai ke server lokal. Kebijakan sistem data tidak akan diterapkan pada pesan.

46: Pesan mengabaikan filter spam.

47: Pesan terdeteksi sebagai spam oleh informasi tag-and-deliver di setelan gateway masuk Anda

48: Pesan tidak diperiksa untuk mengetahui spam atau bukan (oleh SMTP) karena terdapat kebijakan penggantian spam

49: Selalu ganti penolakan spam untuk pesan

50: Pesan cocok dengan kondisi perutean domain yang Anda konfigurasi

51: Pesan memicu aturan pengubahan rute yang Anda konfigurasikan untuk perutean domain

55: Pesan dibuat oleh setelan pembuatan Jurnal Exchange

57: Pesan diterima dari aturan gateway masuk yang Anda konfigurasikan

60: Pesan dilindungi dengan mode rahasia Gmail

61: Pesan diterima oleh sandbox Keamanan

62: Daftar alamat yang dikonfigurasi untuk perutean default domain cocok dengan alamat pengiriman SMTP, bukan koresponden pesan

63: Pesan memicu aturan pengubahan rute tingkat domain, yang Anda konfigurasikan untuk perutean domain, atau perutean default domain

Jenis tindakan setelah pengiriman. Nilai yang memungkinkan:

1: Pesan dibuka untuk pertama kalinya

2: Pesan ditandai sebagai belum dibaca

3: Pesan dibalas

4: Pesan diteruskan

5: Pesan yang diteruskan secara otomatis oleh setelan Gmail

6: Pesan dipindahkan ke kotak masuk

7: Pesan dipindahkan ke sampah

8: Pesan dipindahkan dari sampah

9: Link di isi pesan diklik

10: Satu atau beberapa lampiran pesan didownload

11: Link dalam lampiran diklik saat lampiran dipratinjau

12: Satu atau beberapa lampiran pesan disimpan ke Google Drive

13: Link di add-on diklik

14: Satu atau beberapa item Google Drive dalam pesan didownload

15: Satu atau beberapa item Google Drive dalam pesan disimpan ke Google Drive penerima

16: Label klasifikasi untuk pesan diterapkan atau diubah

17: Label klasifikasi untuk lampiran pesan diterapkan atau diubah

18: Pesan diarsipkan

19: Pesan dihapus secara permanen

20: Satu atau beberapa lampiran pesan dipratinjau

21: Penerima memblokir pengirim pesan

22: Pesan disimpan sebagai draf

23: Pesan dilihat, termasuk pembacaan pertama dan berikutnya

Jenis malware, jika malware terdeteksi selama penanganan pesan. Jika tidak ada malware yang terdeteksi, kolom ini tidak akan ditetapkan. Nilai yang memungkinkan:

1: Jenis program malware berbahaya yang diketahui

2: Jenis malware virus atau worm

3: Kemungkinan konten pesan berbahaya

4: Kemungkinan konten pesan yang tidak diinginkan

5: Jenis malware lainnya

Jenis entitas yang diklasifikasikan. Nilai yang memungkinkan:

1: Isi pesan

2: Lampiran

Jenis peristiwa klasifikasi. Nilai yang memungkinkan:

1: Label diubah.

2: Label yang baru diterapkan.

3: Label dihapus

Jenis pesan S/MIME tingkat teratas, yang ditunjukkan dengan header Jenis Konten. Nilai yang memungkinkan:

0: Pesan tidak memiliki Jenis Konten S/MIME yang dikenali

1: Pesan S/MIME dengan tanda tangan terpisah, ditunjukkan dengan jenis konten multipart/signed dengan parameter protocol=application/pkcs7-signature

2: Pesan S/MIME dengan tanda tangan buram, ditunjukkan dengan jenis konten application/pkcs7-mime atau application/x-pkcs7-mime dengan parameter smime-type=signed-data

3: Pesan S/MIME yang dienkripsi, ditunjukkan dengan jenis konten application/pkcs7-mime atau application/x-pkcs7-mime dengan parameter smime-type=enveloped-data

4: Pesan S/MIME yang dikompresi, ditunjukkan oleh jenis konten application/pkcs7-mime atau application/x-pkcs7-mime dengan parameter smime-type=compressed-data

Hanya untuk pesan keluar. Jika ditetapkan dan nilainya true, menunjukkan bahwa pesan harus dienkripsi.

Jika ditetapkan, menunjukkan adanya pemrosesan S/MIME masuk. Tidak ditetapkan jika dilewati. Nilainya menunjukkan status penyelesaian. Catatan: Saat ini belum ditetapkan.

Hanya untuk pesan keluar. Jika ditetapkan, menunjukkan bahwa pengemasan S/MIME dicoba. Tidak ditetapkan jika dilewati. Nilainya menunjukkan status penyelesaian.

Jika Gmail menolak permintaan relai SMTP, kode error ini memberikan informasi tentang penyebab penolakan. Nilai yang memungkinkan:

1: Error autentikasi

2: Batas kapasitas harian terlampaui

3: Batas kapasitas maksimum terlampaui

4: Pelanggaran relai SMTP

5: Batas kapasitas per pengguna terlampaui

Nama tampilan header Dari: seperti yang muncul di header pesan, misalnya, Joni Doel. Kolom ini mungkin terpotong jika log terlalu panjang atau jika ada terlalu banyak aturan yang dipicu (triggered_rule_info) di log.

Subkategori server sumber. Untuk mengetahui deskripsi nilai, buka message_info.source.service.

Layanan sumber untuk pesan. Gunakan dua kolom ini untuk menentukan layanan mana yang mengirim pesan dan alasan pesan dibuat.

Alasan pesan diklasifikasikan sebagai spam, phishing, atau klasifikasi lainnya. Nilai yang memungkinkan:

1: Alasan klasifikasi spam default

2: Pesan diklasifikasikan karena tindakan pengirim di masa lalu 

3: Konten yang mencurigakan

4: Link yang mencurigakan

5: Lampiran yang mencurigakan

6: Kebijakan kustom yang ditentukan di setelan Gmail Google Workspace

7: DMARC

8: Domain di RBL publik

9: Pelanggaran standar RFC

10: Pelanggaran kebijakan GMAIL

11: Putusan machine learning

12: Reputasi pengirim

13: Spam yang mencolok

14: Perlindungan lanjutan terhadap phishing dan malware

Hasil klasifikasi spam Gmail. Nilai yang memungkinkan:

1: Bukan spam atau malware

2: Spam

3: Phishing

4: Mencurigakan

5: Malware

Kategori jenis MIME. Nilai yang memungkinkan:

1: Jenis file tidak dikenal

2: Dokumen Microsoft Office, termasuk pengolah kata, spreadsheet, presentasi, dan dokumen database. Termasuk file PDF. File mungkin dienkripsi atau tidak.

3: Video dan multimedia, misalnya, MPEG, Quicktime, atau WMV

4: Musik dan audio, misalnya,  MP3, AAC, dan WAV

5: Gambar, misalnya, JPEG, BMP, atau GIF

6: Arsip, misalnya, ZIP, TAR,  atau TGZ

7: File yang dapat dieksekusi, misalnya EXE, COM, atau JS

8: Dokumen Office terenkripsi

9: Dokumen Office yang tidak dienkripsi

Tindakan yang diambil sebagai konsekuensinya. Nilai yang memungkinkan:

0: Konsekuensinya adalah tanpa pengoperasian

3: Masukkan pesan ke dalam Karantina Admin

4: Ubah target pengiriman utama

5: Tambahkan target pengiriman

6: Tambahkan header pesan

7: Ganti alamat pengiriman

9: Tambahkan pesan ke kumpulan pesan yang ditentukan

10: Ubah label pesan

11: Berikan awalan teks pada subjek pesan

12: Tambahkan footer ke pesan

13: Hapus isi pesan

14: Simpan salinan pesan di kotak surat pengguna, menurut setelan penyimpanan email komprehensif.

15: Ganti lampiran dengan teks template pesan

16: Wajibkan pengiriman pesan aman

17: Pesan tidak dapat dikirim dan terpental

18: Arsipkan ke Google Vault untuk penerima

20: Mengenkripsi pesan keluar menggunakan S/MIME

21: Ubah pengguna penerima saat pesan diterima di SMTP.

Jenis aturan khusus. Nilai yang memungkinkan:

0: Walled garden

7: Konten yang tidak pantas

8: Kepatuhan konten

10: Pemilihan rute email yang diterima

11: Pemilihan rute email terkirim

12: Penggantian spam

14: Pengirim yang diblokir

15: Tambahkan footer

16: Kepatuhan lampiran

17: Kepatuhan TLS

18: Perutean default domain

19: Penerimaan jurnal email masuk di Vault

20: Relai keluar

21: Ringkasan karantina

22: Rute aman alternatif

23: Tabel alias

24: Penyimpanan email komprehensif

25: Aturan perutean

26: Gateway masuk

27: S/MIME

28: Pengarsipan email pihak ketiga

Menjelaskan hasil klasifikasi spam aturan khusus. Nilai yang memungkinkan:

0: Tidak ada tindakan—Aturan mengikuti hasil klasifikasi spam Gmail

1: Spam—Aturan mengklasifikasikan pesan sebagai spam

2: Bukan spam—Aturan mengklasifikasikan pesan sebagai bukan spam

Nama lampiran tempat string yang cocok ditemukan pada teks yang diekstrak dari file biner. Catatan: Kolom ini belum diisi.

Ekspresi pencocokan yang disetel di konsol Admin. Kolom ini mungkin terpotong jika log terlalu panjang, atau jumlah aturan yang dipicu (triggered_rule_info) di log terlalu besar.

String yang memicu aturan. Informasi sensitif disembunyikan oleh * atau . Kolom berikut mungkin terpotong jika log terlalu panjang, atau jumlah aturan yang dipicu (triggered_rule_info) di log terlalu besar.

Lokasi string yang cocok dalam pesan. Nilai yang memungkinkan:

0: Tidak diketahui

1: Isi pesan, termasuk lampiran format teks

2: Lampiran format biner

3: Header pesan

4: Subjek:

5: Header pengirim

6: Header penerima

7: Pesan mentah

Jenis pencocokan. Nilai yang memungkinkan:

• 0: Belum ditentukan
• 1: Pencocokan ekspresi reguler
• 2: Pencocokan pendeteksi standar
• 3: Pencocokan konten sederhana
• 4: Pencocokan non-ASCII

Terjadi error saat mengupload pesan ke tujuan. Nilai yang memungkinkan:

• 0: Error sementara yang tidak dikategorikan
• 1: Akun penerima terlalu sibuk
• 2: Error DNS saat menyelesaikan domain penerima
• 3: Server penerima menolak sambungan
• 4: Ruang penyimpanan penerima habis