Udostępnij za pośrednictwem

operator in

  • Artykuł

Dotyczy: ✅Microsoft Fabric✅Azure Data ExplorerAzure MonitorMicrosoft Sentinel

Filtruje zestaw rekordów dla danych przy użyciu ciągu z uwzględnieniem wielkości liter.

Poniższa tabela zawiera porównanie operatorów in :

Operator opis Uwzględniana wielkość liter Przykład (plony true)
in Równa się jednemu z elementów Tak "abc" in ("123", "345", "abc")
!in Nie równa się żadnej z elementów Tak "bca" !in ("123", "345", "abc")
in~ Równa się dowolnemu elementowi Nie. "Abc" in~ ("123", "345", "abc")
!in~ Nie równa się żadnej z elementów Nie. "bCa" !in~ ("123", "345", "ABC")

Uwaga

Zagnieżdżone tablice są spłaszczone w jedną listę wartości. Na przykład, x in (dynamic([1,[2,3]])) staje się x in (1,2,3).

Aby uzyskać więcej informacji na temat innych operatorów i określić, który operator jest najbardziej odpowiedni dla zapytania, zobacz operatory ciągów typu danych.

Operatory bez uwzględniania wielkości liter są obecnie obsługiwane tylko w przypadku tekstu ASCII. W przypadku porównania innego niż ASCII użyj funkcji tolower().

Wskazówki dotyczące wydajności

Uwaga

Gdy jest używanych więcej niż 128 terminów wyszukiwania, optymalizacja wyszukiwania indeksu tekstowego jest wyłączona, co może prowadzić do zmniejszenia wydajności zapytań.

Uwaga

Wydajność zależy od typu wyszukiwania i struktury danych. Aby uzyskać najlepsze rozwiązania, zobacz Najlepsze rozwiązania dotyczące zapytań.

Składnia

Wyrażenie kolumny ( in T ... | where ,)

Dowiedz się więcej na temat konwencji składni.

Parametry

Nazwisko Type Wymagania opis
T string ✔️ Dane wejściowe tabelaryczne do filtrowania.
Col string ✔️ Kolumna, według której ma być filtrowany.
wyrażenie skalarny lub tabelaryczny ✔️ Wyrażenie określające wartości, dla których mają być wyszukiwane. wartości, dla których mają być wyszukiwane. Każde wyrażenie może być wartością skalarną lub wyrażeniem tabelarycznym tworzącym zestaw wartości. Jeśli wyrażenie tabelaryczne zawiera wiele kolumn, zostanie użyta pierwsza kolumna. Wyszukiwanie będzie uwzględniać maksymalnie 1000 000 unikatowych wartości.

Uwaga

Wbudowane wyrażenie tabelaryczne musi być ujęte w nawiasy podwójne. Zobacz przykład.

Zwraca

Wiersze w języku T , dla których predykat to true.

Przykłady

Lista skalarów

Poniższe zapytanie pokazuje, jak używać in z listą wartości skalarnych.

StormEvents 
| where State in ("FLORIDA", "GEORGIA", "NEW YORK") 
| count

Wyjście

Count
4775

Tablica dynamiczna

Poniższe zapytanie pokazuje, jak używać z in tablicą dynamiczną.

let states = dynamic(['FLORIDA', 'ATLANTIC SOUTH', 'GEORGIA']);
StormEvents 
| where State in (states)
| count

Wyjście

Count
3218

Wyrażenie tabelaryczne

Poniższe zapytanie pokazuje, jak używać z in wyrażeniem tabelarycznym.

let Top_5_States = 
    StormEvents
    | summarize count() by State
    | top 5 by count_; 
StormEvents 
| where State in (Top_5_States) 
| count

To samo zapytanie można napisać za pomocą wbudowanej instrukcji wyrażenia tabelarycznego.

StormEvents 
| where State in (
    StormEvents
    | summarize count() by State
    | top 5 by count_
    ) 
| count

Wyjście

Count
14242

Top with other example (Top with other example) (Top with other

let Lightning_By_State = materialize(StormEvents
    | summarize lightning_events = countif(EventType == 'Lightning') by State);
let Top_5_States = Lightning_By_State | top 5 by lightning_events | project State; 
Lightning_By_State
| extend State = iff(State in (Top_5_States), State, "Other")
| summarize sum(lightning_events) by State

Wyjście

Stan sum_lightning_events
ALABAMA 29
WISCONSIN 31
TEKSAS 55
FLORIDA 85
GEORGIA 106
Inne 415

Używanie listy statycznej zwracanej przez funkcję

StormEvents 
| where State in (InterestingStates()) 
| count

Wyjście

Count
4775

Definicja funkcji.

.show function InterestingStates

Wyjście

Nazwisko Parametry Treść Folder DocString
Ciekawestany () { dynamic(["WASHINGTON", "FLORIDA", "GEORGIA", "NEW YORK"]) }