This is an old revision of the document!
Filters in QoE reports
Description and cases
Filters in reports allow the user to filter data by certain criteria. This is convenient for quick search of necessary information in large volumes of data.
Report filtering takes place in the QoE sections of the analytics: Netflow, Raw full netflow, Clickstream, Raw clickstream.
Before applying filters to reports, you must select data by a specific time interval using the "Period" field:
There are two options for selecting a period:
- Custom range — arbitrary Start and End of period, set manually;
- Quick ranges — ready-made date and time intervals, selectable from the list given.
Case 1. Filtering by subscribers
Used when you want to track the activity of a specific subscriber, a pool of subscribers or a list of subscribers.
1. Select the "Subscriber" filter;
2. Customize the filter by one of three options:
| Single subscriber |  |
| Subscriber pool |  |
| Subscriber list |  |
3. Enable the filter by checking the checkbox to the left of the filter to be configured;
4. Click "Apply".
Case 2. Filtering by resource
It is used if you need to find subscribers who have visited a specific resource or list of resources.
- Select the "Host" filter;
- Select the "=" or "like" operator;
- Enter the name of the resource;
- Enable the filter by checking the checkbox to the left of the filter to be configured;
- Click "Apply".
To filter by list of resources, follow the principle from Case 1. Filtering by subscribers → Subscriber list.
Case 3. Filtering by CIDR address
Used if you want to filter data by a specific IP address with a subnet mask.
- Select the "Subscriber" filter;
- Select the "in CIDR's" operator;
- Enter the IP address with subnet mask;
- Enable the filter by checking the checkbox to the left of the filter to be configured;
- Click "Apply".
Lists filters available in QoE Analytics sections
Netflow
| Field | Explanation | Frequently used operators |
|---|---|---|
| Host | Host Name. Examples: zen.yandex.ru. *.mail.ru 149.154.167.151:80 | =like |
| Subscriber | Subscriber IP address | =likein CIDR’snot in CIDR’s |
| Login | Numeric designation of the subscriber in the billing system | =like |
| Host IP | Host IP address | =likein CIDR’snot in CIDR’s |
| Protocol | Net protocol Example: TCP 6 | =like |
| App protocols groups | The filter value is selected from a drop-down list with protocol groups | innot in |
| Application protocol | Example: https 443 | =like |
| Subscriber`s AS number | The AS number assigned to a particular subscriber. Each request to or from a subscriber has the same AS number | =like |
| Host`s AS number | The AS number assigned to a specific host. Each request to or from a host has the same AS number | =like |
| Host category | The filter value is selected from a drop-down list with categories | innot in |
| Infected traffic category | Available Categories: Botnet hosts (Kaspersky) Malicious hosts (Kaspersky) Phishing hosts (Kaspersky) | innot in |
| Vchannel/Bridge | Vchannel - vChannel number Bridge - number of the bridge through which the traffic goes The field specifies the Vchannel or Bridge value sent by DPI. Depending on the mode of operation, it sends either Bridge or Vchannel to which this or that IP has fallen. | =like |
| Post nat source IPv4-address | An IP address converted from private to public by NAT to communicate with external devices and access the Internet | =likein CIDR’snot in CIDR’s |
| Post nat source port | A port converted by NAT from private to public for communicating with external devices and accessing the Internet | =like |
| Class | Traffic classes cs0 through cs7. See Quick Start: Tariff Plan and Captive Portal for more details. 0 — cs0 1 — cs1 … 7 — cs7 | =like |
| DSCP | Extended traffic class values. See Traffic prioritization depending on protocols and directions for details. | =like |
| Traffic direction | Possible values: From subscriber To subscriber | =!= |
| MPLS labels | Labels responsible for the transmission of data packets on the network. It is transmitted in base64 format. Example: C7pB/w== | =like |
Raw full netflow
| Поле | Описание | Часто используемые операторы |
|---|---|---|
| ИД сессии | Идентификатор сессии Пример: 101292583003281746 | =like |
| IPv4-адрес источника | IPv4-адрес источника запроса. Если запрос от абонента — здесь будет указан адрес абонента, если наоборот — адрес хоста | =likein CIDR’snot in CIDR’s |
| IPv6-адрес источника | IPv6-адрес источника запроса. Если запрос от абонента — здесь будет указан адрес абонента, если наоборот — адрес хоста | =like |
| Порт источника | Порт источника запроса. Если запрос от абонента — здесь будет указан порт абонента, если наоборот — порт хоста | =like |
| Номер АС источника | Номер АС источника запроса. Если запрос от абонента — здесь будет указан АС абонента, если наоборот — АС хоста | =like |
| IPv4-адрес получателя | IPv4-адрес получателя запроса. Если запрос направлен к хосту — здесь будет указан адрес хоста, если наоборот — адрес абонента | =likein CIDR’snot in CIDR’s |
| IPv6-адрес получателя | IPv6-адрес получателя запроса. Если запрос направлен к хосту — здесь будет указан адрес хоста, если наоборот — адрес абонента | =like |
| Порт получателя | Порт получателя запроса. Если запрос направлен к хосту — здесь будет указан порт хоста, если наоборот — порт абонента | =like |
| Номер АС получателя | Номер АС получателя запроса. Если запрос направлен к хосту — здесь будет указан АС хоста, если наоборот — АС абонента | =like |
| Сетевой протокол | Пример: TCP 6 | =like |
| Прикладной протокол | Пример: https 443 | =like |
| Группы прикладных протоколов | Выбор значения фильтра осуществляется из выпадающего списка с группами протоколов | innot in |
| Логин | Числовое обозначение абонента в биллинге | =like |
| Абонент | IP-адрес абонента | =likein CIDR’snot in CIDR’s |
| Номер АС абонента | Номер АС, закрепленный за определенным абонентом. В каждом запросе к абоненту или от абонента — одинаковый номер АС | =like |
| Порт абонента | Порт, закрепленный за определенным абонентом. В каждом запросе к абоненту или от абонента — одинаковый порт | =like |
| Хост | Наименование хоста Примеры: zen.yandex.ru *.mail.ru 149.154.167.151:80 | =like |
| Номер АС хоста | Номер АС, закрепленный за определенным хостом. В каждом запросе к хосту или от хоста — одинаковый номер АС | =like |
| Порт хоста | Порт, закрепленный за определенным хостом. В каждом запросе к хосту или от хоста — одинаковый порт | =like |
| IP хоста | IP-адрес хоста | =likein CIDR’snot in CIDR’s |
| Канал/Мост | Канал – номер vChannel Мост – номер моста, через который идет трафик В поле указывается Канал или Мост, значение присылает DPI. В зависимости от режима работы, он присылает либо Мост, либо Канал в который попал тот или иной IP | =like |
| IPv4-адрес источника после nat | IP-адрес, преобразованный NAT из приватного в публичный для связи с внешними устройствами и доступа в интернет | =likein CIDR’snot in CIDR’s |
| Порт источника после nat | Порт, преобразованный NAT из приватного в публичный для связи с внешними устройствами и доступа в интернет | =like |
| Направление трафика | Возможные значения: От абонента К абоненту | =!= |
| ИД VLAN | Идентификатор VLAN, через который вошел трафик. Задается числом, пример: 4038 | =like |
| ИД Post VLAN | Идентификатор VLAN, через который вышел трафик. Задается числом, пример: 4031 | =like |
| MPLS метки | Метки, отвечающие за передачу пакетов данных в сети. Передается в формате base64. Пример: C7pB/w== | =like |
| Класс | Классы трафика cs0 — cs7. Подробнее в разделе Распределение трафика по классам для тарифного плана 0 — cs0 1 — cs1 … 7 — cs7 | =like |
| DSCP | Расширенные значения классов трафика. Подробнее в разделе Разметка приоритета трафика в зависимости от протокола или направления | =like |
| Дельта октетов | Разница трафика (байт) в начале и в конце заданного периода | =like |
| Дельта пакетов | Разница IP-пакетов в начале и в конце заданного периода | =like |
Clickstream
| Поле | Пояснение | Часто используемые операторы |
|---|---|---|
| Хост | Наименование хоста Примеры: zen.yandex.ru *.mail.ru 149.154.167.151:80 | =like |
| Абонент | IP-адрес абонента | =likein CIDR’snot in CIDR’s |
| Логин | Числовое обозначение абонента в биллинге | =like |
| Устройство | Позволяет понять, с какого устройства сделан запрос | =like |
| IP хоста | IP-адрес хоста | =likein CIDR’snot in CIDR’s |
| Урл | Домен + адрес, по которому перешел абонент | =like |
| Категория хоста | Выбор значения фильтра осуществляется из выпадающего списка с категориями | innot in |
| Категория зараженного трафика | Доступные категории: Ботнет хосты (Kaspersky) Вредоносные хосты (Kaspersky) Фишинговые хосты (Kaspersky) | innot in |
| Канал/Мост | Канал – номер vChannel Мост – номер моста, через который идет трафик В поле указывается Канал или Мост, значение присылает DPI. В зависимости от режима работы, он присылает либо Мост, либо Канал в который попал тот или иной IP | =like |
| Заблокирован | Возможные значения: 0 — незаблокированный трафик 1 — заблокированный трафик | =!= |
| Направление трафика | Возможные значения: От абонента К абоненту | =!= |
Raw clickstream
| Поле | Пояснение | Часто используемые операторы |
|---|---|---|
| ИД сессии | Идентификатор сессии Пример: 101292583003281746 | =like |
| IPv4-адрес источника | IPv4-адрес источника запроса. Если запрос от абонента — здесь будет указан адрес абонента, если наоборот — адрес хоста | =likein CIDR’snot in CIDR’s |
| IPv4-адрес получателя | IPv4-адрес получателя запроса. Если запрос направлен к хосту — здесь будет указан адрес хоста, если наоборот — адрес абонента | =likein CIDR’snot in CIDR’s |
| IPv6-адрес источника | IPv6-адрес источника запроса. Если запрос от абонента — здесь будет указан адрес абонента, если наоборот — адрес хоста | =like |
| IPv6-адрес получателя | IPv6-адрес получателя запроса. Если запрос направлен к хосту — здесь будет указан адрес хоста, если наоборот — адрес абонента | =like |
| Логин | Числовое обозначение абонента в биллинге | =like |
| Хост | Наименование хоста Примеры: zen.yandex.ru *.mail.ru 149.154.167.151:80 | =like |
| Путь | Адрес, по которому перешел абонент | =like |
| УРЛ источника запроса | Ресурс, с которого поступил запрос. Используется при переадресации: запоминается адрес, с которого пользователь перешел на страницу переадресации | =like |
| Агент пользователя | User agent. Позволяет понять, с какого устройства сделан запрос | =like |
| Канал/Мост | Канал – номер vChannel Мост – номер моста, через который идет трафик В поле указывается Канал или Мост, значение присылает DPI. В зависимости от режима работы, он присылает либо Мост, либо Канал в который попал тот или иной IP | =like |
| Заблокирован | Возможные значения: 0 — незаблокированный трафик 1 — заблокированный трафик | =!= |
| Направление трафика | Возможные значения: От абонента К абоненту | =!= |
Operators
| Оператор | Описание | Формат ввода данных |
|---|---|---|
= | Возвращает записи, равные введенному значению | |
!= | Возвращает записи, не равные введенному значению | |
like | Возвращает записи, содержащие определённый шаблон символов | |
ilike | Работает так же, как like, но не зависит от регистра | |
not like | Возвращает записи, не содержащие определённый шаблон символов | |
not ilike | Работает так же, как not like, но не зависит от регистра | |
match | Возвращает записи, соответствующие регулярному выражению – последовательности специальных символов, формирующих паттерн или шаблон, который сопоставляется со строкой | Формат ввода и примеры см. по ссылке |
not match | Возвращает записи, не соответствующие регулярному выражению | Формат ввода и примеры см. по ссылке |
> | Возвращает записи, которые больше введенного значения | |
>= | Возвращает записи, которые больше или равны введенному значению | |
< | Возвращает записи, которые меньше введенного значения | |
<= | Возвращает записи, которые меньше или равны введенному значению | |
in | Позволяет вводить несколько значений и возвращает все, что совпали со значениями из списка. Каждое значение нужно вводить с новой строки | Каждое значение с новой строки |
not in | Позволяет вводить несколько значений и возвращает все, кроме тех, что совпали со значениями из списка. Каждое значение нужно вводить с новой строки | Каждое значение с новой строки |
between | Возвращает записи, где выражение находится в диапазоне значений value1 и value2 включительно | Каждое значение с новой строки |
not between | Возвращает все записи, где выражение не находится в диапазоне между value1 и value2 включительно | Каждое значение с новой строки |
in CIDRs | Позволяет вводить несколько значений CIDR и возвращает все, что совпали со значениями из списка. Каждое значение нужно вводить с новой строки | 192.0.2.32/27 Каждое значение с новой строки |
not in CIDRs | Позволяет вводить несколько значений CIDR и возвращает все, кроме тех, что совпали со значениями из списка. Каждое значение нужно вводить с новой строки | 192.0.2.32/27 Каждое значение с новой строки |
Checks whether a string matches a simple regular expression. The regular expression can contain the metasymbols:
- % indicates any quantity of any bytes (including zero characters).
- _ indicates any one byte.
For an example of using a regular expression, see Case 1. Filtering by subscribers → Subscriber Pool.