has_all 運算子
適用於:✅Microsoft網狀架構✅Azure 數據✅總管 Azure 監視器✅Microsoft Sentinel
使用一或多個不區分大小寫的搜尋字串來篩選數據記錄集。 has_all 會搜尋索引字詞,其中索引 字詞 為三個或多個字元。 如果您的字詞少於三個字元,查詢會掃描數據行中的值,這比查閱字詞索引中的字詞慢。
如需其他運算符的詳細資訊,以及判斷哪一個運算元最適合您的查詢,請參閱 數據類型字串運算元。
語法
T | where colhas_all (表達式 ...,)
深入瞭解 語法慣例。
參數
| 姓名 | 類型 | 必要 | 描述 |
|---|---|---|---|
| T | string |
✔️ | 要篩選的表格式輸入。 |
| col | string |
✔️ | 要篩選的數據行。 |
| expression | 純量或表格式 | ✔️ | 表達式,指定要搜尋的值。 每個運算式可以是 純量值 或 產生一組值的表格式表達式 。 如果表格式表達式有多個數據行,則會使用第一個數據行。 搜尋最多會考慮 256 個不同的值。 |
傳回
述詞為 true的 T 數據列。
範例
一組純量
下列查詢示範如何搭配逗號分隔的純量值集使用 has_all 。
StormEvents
| where EpisodeNarrative has_all ("cold", "strong", "afternoon", "hail")
| summarize Count=count() by EventType
| top 3 by Count
輸出
| EventType | 計數 |
|---|---|
| 雷暴風 | 517 |
| 冰雹 | 392 |
| 暴洪 | 24 |
動態陣列
您可以使用動態陣列表示法來達成相同的結果。
StormEvents
| where EpisodeNarrative has_all (dynamic(["cold", "strong", "afternoon", "hail"]))
| summarize Count=count() by EventType
| top 3 by Count
輸出
| EventType | 計數 |
|---|---|
| 雷暴風 | 517 |
| 冰雹 | 392 |
| 暴洪 | 24 |
您也可以使用 let 語句來撰寫相同的查詢。
let criteria = dynamic(["cold", "strong", "afternoon", "hail"]);
StormEvents
| where EpisodeNarrative has_all (criteria)
| summarize Count=count() by EventType
| top 3 by Count
| EventType | 計數 |
|---|---|
| 雷暴風 | 517 |
| 冰雹 | 392 |
| 暴洪 | 24 |