BigQuery での Gmail ログのスキーマ

event_info.client_context.client_type

イベントが成功した場合は true、失敗した場合は false。たとえば、ポリシーによってメールが拒否された場合、値は false になります。

イベントで示されているメール配信アクション。 値は次のいずれかです。

1: メールは受信 SMTP サーバーによって受信されました

2: メールが Gmail で受け付けられ、配信準備が完了しました。通常、この処理は「1」のステップに続いて行われますが、Gmail からの送信メールの場合は最初に行われます。受信メールの場合、拒否処理を含むポリシーは通常この段階で評価されます（例: 受信メールを拒否する添付ファイルのコンプライアンス ポリシー）。

3: Gmail がメールへの対応を行いました。（例: Gmail のメールボックスや別のサーバーに送信済み）。通常、この処理は「2」のステップに続いて行われます。拒否以外の処理を含むポリシーはこの段階で評価されます（例: ファイル形式などの条件に基づいて添付ファイルを削除する、添付ファイルのコンプライアンス ポリシー）。

10: メールが送信 SMTP サーバーによって送信されました

14: Gmail でメールを配信しようとしたときに一時的なエラーが発生したため、再試行がスケジュールされました。これは通常、外部サーバーまたは内部サーバーが一時的に利用できないことが原因で発生します。後で再試行してください。たとえば、Gmail で外部の SMTP サーバーにメールを配信しようとしたところ、一時的なエラーが返された場合です。

18: メールは配信できず、返送されました。message_info.description を読むことで、何が起きたかを確認できる場合もあります。一般的な理由は次のとおりです。

• 受信サーバーがリクエストを受け付けなかった

• 一時的なエラーが多すぎるためメールを配信できなかった（この表の 14 を参照）。

• ポリシーの評価が遅れたためメールが拒否された

• 受信者を認識できず、メインの配信ルートを変更するポリシーがトリガーされていない

19: メールが Gmail によって破棄されました。一般的な理由は次のとおりです。

• 送信されたメールによって管理者検疫が発生した。元のメールは破棄され、メールのコピーが管理者検疫に追加されます。

• ジャーナリング メールでは、ラップ内部のメールは配信されますが、元のメールは破棄されます

• 受信メール。Gmail では次のような場合にメールをブロック、破棄することがあります。

  • メールが RFC 5322 に準拠していない

  • 送信者が一括送信ガイドラインに違反している

• ポリシーによってメインの配信ルートが削除され、別のルートが追加された。元のメールは破棄され、追加されたルートにはコピーが配信されます

• 受信アドレスを認識できず、ポリシーにより別のルートが追加された。元のメールは破棄され、追加されたルートにはコピーが配信されます

45: Google グループ サブシステムによってメールの配信が承認されました

46: メール受信者のアドレスが Google グループであるため、メールの受信者が、メール配信を有効にしている Google グループの各メンバーに展開されました

48: メールはリレー用の受信 SMTP サーバーによって受信されました

49: メールはリレー経由で送信 SMTP サーバーによって送信されました

51: メールは Google グループのストレージに書き込まれました

54: メールは Google グループのストレージ システムによって拒否されました

55: メインの配信ルートやエンベロープ受信者を変更するポリシーにより、メールが Gmail に再挿入されました

68: メールが Gmail で受け付けられ、配信準備が完了しました「2」の処理と似ていますが、メールは Gmail サーバー経由で送信されます。

69: ユーザーが Gmail でメールの迷惑メール分類を変更しました。たとえば、ユーザーがメールを [迷惑メール]、[フィッシング]、[迷惑メールではない] に設定しました。

70: Gmail への配信後、メールの分類が [迷惑メール] や [フィッシング] に変更されました。

71: ユーザーがメールの受信後、受信トレイでなんらかの操作を行いました。配信後の操作には、メールを開く、メール内のリンクをクリックする、添付ファイルをダウンロードするなどがあります。BigQuery Export には、操作の詳細が含まれます

メッセージの添付ファイルに関する情報。この記録は添付ファイルごとに繰り返されます。

不正なソフトウェアのカテゴリ（メールの処理中に検出された場合）。不正なソフトウェアが検出されなかった場合、このフィールドは設定されません。 値は次のいずれかです。

• 1: 既知の悪意のあるプログラム タイプのマルウェア
• 2: ウイルスまたはワームタイプのマルウェア
• 3: メールのコンテンツが有害である可能性がある
• 4: メールのコンテンツが望ましくない可能性がある
• 5: その他の種類のマルウェア

メッセージ認証タイプ（例: SPF、DKIM） 値は次のいずれかです。

• 1: SPF
• 2: DKIM
• 3: DKIM_PROXY
• 4: XOAR_SPF
• 5: XOAR_DKIM
• 6: ARC_SPF
• 7: ARC_DKIM

送信および受信 SMTP 接続の SMTP 応答コード。通常は 2xx、4xx、または 5xx。

受信接続の SMTP 応答コードの詳細な理由。値は次のいずれかです。

• 1: メールが承認または拒否されたデフォルトの理由
• 3: マルウェア
• 4: DMARC ポリシー
• 5: Gmail でサポートされていない添付ファイル
• 6: 受信上限を超えた
• 7: アカウントの見積もりを超えている
• 8: PTR レコードが正しくない
• 9: 受信者が存在しない
• 10: 顧客ポリシー
• 12: RFC 違反
• 13: 明らかなスパム
• 14: DoS（Denial of Service）
• 15: 悪意のあるリンクまたはスパム行為のあるリンク
• 16: IP レピュテーション: 低
• 17: ドメイン レピュテーションが低い
• 18: 公開リアルタイム ブロックリストに記載されている IP アドレス
• 19: サービス拒否の制限による一時的な拒否
• 20: サービス拒否の制限による完全な拒否

SMTP サーバーとの接続のタイプ。 SMTP 接続を明示的に処理するイベントのログに対してのみ設定されます。 値:

• 0: TLS ではない
• 1: TLS

message_connection_info.smtp_user_agent_ip 

message_info.destination.rcpt_response

各サービスのサブカテゴリ。値の定義を確認するには、message_info.destination.service に移動します。

このメールの送信先となったサービス。送信先にはサービスとセレクタのペアが多数あります。この 2 つのフィールドを使用して、メッセージの送信先サービスを特定できます。

受信メッセージ専用。設定されている場合、この受信者に対して S/MIME 復号化が試行されたことを示します。値は完了ステータスを示します。スキップした場合は設定されません。

受信メッセージ専用。設定されている場合、この受信者に対して S/MIME 抽出が試行されたことを示します。値は完了ステータスを示します。スキップした場合は設定されません。

受信メッセージ専用。設定されている場合、この受信者に対して S/MIME 解析が試行されたことを示します。値は完了ステータスを示します。スキップした場合は設定されません。

受信メッセージ専用。設定されている場合、この受信者に対して S/MIME 署名検証が試行されたことを示します。値は完了ステータスを示します。スキップした場合は設定されません。

すべての受信者の情報がフラット化された文字列。形式は次のようになります。
「service_for_recipient1:selector_for_recipient1:address_for_recipient1,
service_for_recipient2:selector_for_recipient2:address_for_recipient2」

送信者に対してポリシールールが評価された場合（メールの送信処理が行われた場合）は true になります。 受信者に対してポリシールールが評価された場合（メールの受信処理が行われた場合）は false になります。

メールが属するメッセージ セットタイプ。詳しくは、message_info.message_set.type をご覧ください。

メッセージ セットタイプとは、メッセージ（メール）を説明する属性です。たとえば、メッセージが受信、送信、内部のいずれであるかを示します。 値は次のいずれかです。

1: メールは受信メール（ドメイン外部から受信したメール）です。このメッセージ セットとメッセージ セット「10」が同時に出現することはありません。

2: メールは送信メール（ドメイン外部の受信者に送信されたメール）です。このメッセージ セットとメッセージ セット「10」が同時に出現することはありません。

4: いずれかのポリシーで定義されている不適切なコンテンツがメールに含まれています

6: 承認済みのアドレスまたはドメインにメールを制限するように設定した、指定ドメインのみアクセス許可のルールが、メールによってトリガーされました

7: メールは Gmail によって迷惑メールに分類されました

8: メールを送信しています（送信メール）

9: メールを受信しています（受信メール）

10: ドメイン内部のメールです

11: メールにドメイン外の送信者または受信者が指定されていました受信メールの場合: メールセット「27」がない場合、送信者の認証に失敗しました。メールは、ドメイン外の送信者宛てのメールとして処理されました。

12: メールにドメイン内の受信者とドメイン外の受信者が指定されていました。このメッセージ セットは次の場合に現れます。

• 受信者が複数います
• メールを送信中である。受信メールの場合はすべての受信者が同じドメインに属している必要があります
• メールのアクション タイプが「2」です。複数の受信者が指定されたメールは、単一受信者のメールに分割されます。

13: メールセットのタイプが不明です

15: 照合対象のポリシーは Gmail ユーザーに関連付けられています

18: メールにデフォルトのルートがありません

19: ドメインのデフォルトのルーティング用に設定したアドレスリストが、メールの送受信者と一致しています

20: ブロックされている送信者のリストに含まれるアドレスからのメールです

21: メールは TLS 経由で送信されました。SSL 証明書は有効です

22: メールは TLS 経由で送信されました

24: このメールの受信者が不明です

25: 配信されなかったメールに対する未配信レポートのメールです

26: ドメインのデフォルトのルーティングで設定したルート変更ルールが、メールによってトリガーされました

27: 送信者は SPF、DKIM、DMARC 認証に合格しました。送信者が認証されていない場合、送信者ドメインは信頼されず、内部メールとはみなされません。

28: Exchange ジャーナルがメールを Google Vault にアーカイブしています

29: メールは SMTP リレー経由で転送されました

30: メールの受信者が、ドメインのルーティングまたはドメインのデフォルトのルーティング用の設定で明示的に指定した（正規表現パターンを使わない）受信者のいずれかに一致しました。

31: ドメインのデフォルトのルーティングについて設定した条件にメールが一致しました

32: Google Vault にアーカイブする Exchange ジャーナル メールからメールが作成されました

33: メールは TLS などの安全な接続を介して送信する必要があります

34: 照合対象のポリシーは、個々の Gmail ユーザーではなくグループに関連付けられています

35: SMTP リレーでメールを認証できませんでした。メールの SMTP envelope-from アドレスが空であるか、メールが Exchange ジャーナル メールである可能性があります。後で SMTP RCPT コマンドの実行時に確認されます。

36: 迷惑メールフィルタによる積極的なフィルタリングがメールに対して有効になっています

37: メールは SMTP リレーで認証されます

39: リレー用の認証済みドメインに属する送信者です

40: リレーで認証されるドメイン内の Google Workspace ユーザーからのメールです

41: 送信者は SMTP AUTH で正常に認証されました。Gmail では送信者のドメインについて SMTP リレーの認証を試みています

42: 認証されていないアドレスからメールが送信されました

43: メールはエイリアス表を介してルート変更されました

44: メールフローのルートを変更するルールが、メールによってトリガーされました

45: メールはキャッチオール アカウント宛てで、オンプレミス サーバーに中継されています。このメールには記録システムのポリシーは適用されません。

46: メールは迷惑メールフィルタを回避しました

47: 受信ゲートウェイ設定の分類配信情報で、迷惑メールとして検出されました

48: 迷惑メール オーバーライド ポリシーにより、メールには SMTP による迷惑メールのチェックが行われませんでした

49: メールに対する迷惑メール拒否を常にオーバーライドします

50: 設定したドメイン ルーティングの条件にメールが一致します

51: ドメイン ルーティング用に設定したルート変更ルールが、メールによってトリガーされました

55: Exchange ジャーナルの生成設定によってメールが作成されました

57: 設定した受信ゲートウェイ ルールからメールが受信されました

60: メールは Gmail の情報保護モードで保護されています。

61: セキュリティ サンドボックスがメールを受信しました

62: ドメインのデフォルトのルーティング用に設定したアドレスリストが、メールの送受信者ではなく、SMTP エンベロープ受信者と一致しています

63: ドメインのルーティングまたはドメインのデフォルトのルーティング用に設定したドメインレベルのルート変更ルールが、メールによってトリガーされました

配信後の操作の種類。 値は次のいずれかです。

1: メールが初めて開封されました

2: メールが未読としてマークされました

3: メールが返信されました

4: メールが転送されました

5: Gmail の設定によりメールが自動転送されました

6: メールが受信トレイに移動されました

7: メールがゴミ箱に移動されました

8: メールがゴミ箱の外に移動されました

9: メール本文のリンクがクリックされました

10: メールの添付ファイルがダウンロードされました

11: 添付ファイルのプレビュー時に、添付ファイル内のリンクがクリックされました

12: メールの添付ファイルが Google ドライブに保存されました

13: アドオン内のリンクがクリックされました

14: メール内の Google ドライブ アイテムがダウンロードされました

15: メール内の Google ドライブ アイテムが、受信者の Google ドライブに保存されました

16: メールに分類ラベルが適用、またはメールの分類ラベルが変更されました

17: メールの添付ファイルに分類ラベルが適用、またはメールの添付ファイルの分類ラベルが変更されました

18: メールがアーカイブされました

19: メールが完全に削除されました

20: メールの添付ファイルがプレビューされました

21: 受信者がメール送信者をブロックしました

22: メールが下書きとして保存されました

23: メールが表示されました（最初と以降の表示を含む）

マルウェアの種類（メールの処理中にマルウェアが検出された場合）。マルウェアが検出されていない場合、このフィールドは設定されません。 値は次のいずれかです。

1: 既知の不正プログラムが組み込まれているタイプのマルウェア

2: ウイルスやワームタイプのマルウェア

3: メールに有害なコンテンツが含まれている可能性あり

4: メールに望ましくないコンテンツが含まれている可能性あり

5: その他の種類のマルウェア

分類されたエンティティの種類。 値は次のいずれかです。

1: メール本文

2: 添付ファイル

分類イベントの種類。 値は次のいずれかです。

1: ラベルが変更されました

2: ラベルが新たに適用されました

3: ラベルを削除しました

Content-Type: ヘッダーで示される、メールの最上位 S/MIME タイプ。 値は次のいずれかです。

0: メールの S/MIME Content-Type を認識できません

1: 分離署名を含む S/MIME メッセージ。コンテンツ タイプ「multipart/signed」とパラメータ「protocol=application/pkcs7-signature」によって示されます

2: コンテンツ タイプ「application/pkcs7-mime」または「application/x-pkcs7-mime」とパラメータ「smime-type=signed-data」によって示される、不透明な署名を含む S/MIME メッセージ

3: コンテンツ タイプ「application/pkcs7-mime」または「application/x-pkcs7-mime」とパラメータ「smime-type=enveloped-data」によって示される、暗号化された S/MIME メッセージ

4: コンテンツ タイプ「application/pkcs7-mime」または「application/x-pkcs7-mime」とパラメータ「smime-type=compressed-data」によって示される、圧縮された S/MIME メッセージ

送信メッセージ専用。true に設定された場合、メールを暗号化する必要があることを示します。

設定されている場合、受信 S/MIME 処理が行われたことを示します。スキップした場合は設定されません。値は完了ステータスを示します。 注: 現在は設定されていません。

送信メッセージ専用。設定されている場合、S/MIME パッケージングが試行されたことを示します。スキップした場合は設定されません。値は完了ステータスを示します。

Gmail が SMTP リレー リクエストを拒否した場合、このエラーコードは拒否の原因に関する情報を提供します。 値は次のいずれかです。

1: 認証エラー

2: 1 日のレート制限を超えている

3: ピークレート制限を超えている

4: SMTP リレーの不正使用

5: ユーザーごとのレート制限を超えている

メールヘッダーにある「From:」ヘッダー表示名（例: 「John Doe」）。ログが長すぎる場合、またはログ内のトリガーされたルール（triggered_rule_info）の数が多すぎる場合は、このフィールドの値の後半が省略されることがあります。

送信元サーバーのサブカテゴリ。値の説明については、message_info.source.service をご覧ください。

メールの送信元サービス。次の 2 つのフィールドを使用して、メールの送信元となったサービスとメールが生成された理由を特定できます。

メールが迷惑メール、フィッシングなどに分類された理由です。 値は次のいずれかです。

1: 迷惑メール分類に関するデフォルトの理由

2: 送信者が過去に行った操作に基づき、迷惑メールに分類されたメール

3: 不審なコンテンツ

4: 不審なリンク

5: 不審な添付ファイル

6: Google Workspace の Gmail 設定で定義したカスタム ポリシー

7: DMARC

8: 公開 RBL に掲載されているドメイン

9: RFC 規格違反

10: Gmail のポリシー違反

11: 機械学習判定

12: 送信者の評判

13: 明らかな迷惑メール

14: フィッシングとマルウェアに対する高度な保護機能

Gmail の迷惑メール分類の結果。値は次のいずれかです。

1: 迷惑メールやマルウェアではない

2: 迷惑メール

3: フィッシング

4: 不審なメール

5: マルウェア

MIME タイプのカテゴリ。値は次のいずれかです。

1: 認識できないファイル形式

2: Microsoft Office ドキュメント（文書作成、スプレッドシート、プレゼンテーション、データベースなど）PDF など）。ファイルが暗号化されているかどうかは問いません。

3: 動画、マルチメディア（MPEG、Quicktime、WMV など）

4: 音楽、オーディオ（MP3、AAC、WAV など）

5: 画像（JPEG、BMP、GIF など）

6: アーカイブ（ZIP、TAR、TGZ など）

7: 実行可能ファイル（EXE、COM、JS など）

8: 暗号化された Office ドキュメント

9: 暗号化されていない Office ドキュメント

結果に対して取られたアクション。値は次のいずれかです。

0: 何もしない

3: メールを管理者検疫に移動する

4: メインの配信先を変更する

5: 配信先を追加する

6: メールヘッダーを追加する

7: エンベロープ受信者を上書きする

9: 指定したメールセットにメールを追加する

10: メールのラベルを変更する

11: メールの件名の先頭にテキストを追加する

12: メールにフッターを追加する

13: メール本文を削除する

14: 包括的なメール ストレージの設定に応じて、ユーザーのメールボックスにメールのコピーを保存する

15: 添付ファイルを定型文に置き換える

16: メールのセキュアな配信を要求する

17: メールを配信できず、返送する

18: 受信者の Google Vault にアーカイブする

20: S/MIME を使って送信メールを暗号化する

21: メールが SMTP で受信されたときに、受信ユーザーを変更する

カスタムルールの種類。値は次のいずれかです。

0: 指定ドメインのみアクセス許可

7: 不適切なコンテンツ

8: コンテンツ コンプライアンス

10: 受信メールのルーティング

11: 送信済みメールのルーティング

12: 迷惑メールの指定の解除

14: ブロックされている送信者

15: フッターを追加

16: 添付ファイルのコンプライアンス

17: TLS コンプライアンス

18: ドメインのデフォルトのルーティング

19: Vault での受信メール ジャーナルの受け入れ

20: 送信リレー

21: 検疫レポート

22: 安全な代替ルート

23: エイリアス表

24: 包括的なメール ストレージ

25: ルーティング ルール

26: 受信ゲートウェイ

27: S/MIME

28: サードパーティ製のメール アーカイブ ツール

カスタムルールの迷惑メール分類判定についての説明。値は次のいずれかです。

0: 何もしない - Gmail の迷惑メール分類の結果を優先しました

1: 迷惑メール - ルールによりメールを迷惑メールに分類しました。

2: 迷惑メールではない - ルールによりメールを迷惑メールではないものとして分類しました。

バイナリ ファイルから抽出したテキスト内に、一致する文字列が見つかった添付ファイルの名前。 注: このフィールドは現在使用されていません。

管理コンソールで設定された一致表現。ログが長すぎる場合、またはログ内のトリガーされたルール（triggered_rule_info）の数が大きすぎる場合は、このフィールドの値が省略されることがあります。

ルールをトリガーした文字列。機密情報は表示されず、「*」または「.」に置き換えられます。ログが長すぎる場合、またはログ内のトリガーされたルール（triggered_rule_info）の数が大きすぎる場合は、このフィールドの値の後半が省略されることがあります。

メール内で一致した文字列の場所。値は次のいずれかです。

0: 不明

1: メール本文（テキスト形式の添付ファイルを含みます）

2: バイナリ形式の添付ファイル

3: メールヘッダー

4: 件名

5: 送信者のヘッダー

6: 受信者のヘッダー

7: メッセージのソース

一致の種類。値は次のいずれかです。

• 0: 未定義
• 1: 正規表現の一致
• 2: 定義済み検出項目の一致
• 3: シンプルなコンテンツの一致
• 4: ASCII 以外の文字の一致

宛先へのメールのアップロード中に発生したエラー値は次のいずれかです。

• 0: 下記に該当しない一時的なエラー
• 1: 受信者のアカウントがビジー状態
• 2: 受信者ドメインの解決に関する DNS エラー
• 3: 受信者のサーバーが接続を拒否
• 4: 受信者の保存容量が不足