has 運算子
適用於:✅Microsoft網狀架構✅Azure 數據✅總管 Azure 監視器✅Microsoft Sentinel
使用不區分大小寫的字串篩選數據記錄集。 has 會搜尋索引字詞,其中索引 字詞 為三個或多個字元。 如果您的字詞少於三個字元,查詢會掃描數據行中的值,這比查閱字詞索引中的字詞慢。
下表使用提供的縮寫來比較 has 運算子:
- RHS = 表達式右側
- LHS = 表達式左側
| Operator | 描述 | 區分大小寫 | 範例 (yields true) |
|---|---|---|---|
has |
右手邊 (RHS) 是左側的整個詞彙 (LHS) | No | "North America" has "america" |
!has |
RHS 在 LHS 中不是完整詞彙 | No | "North America" !has "amer" |
has_cs |
RHS 是 LHS 中的完整詞彙 | Yes | "North America" has_cs "America" |
!has_cs |
RHS 在 LHS 中不是完整詞彙 | Yes | "North America" !has_cs "amer" |
如需其他運算符的詳細資訊,以及判斷哪一個運算元最適合您的查詢,請參閱 數據類型字串運算元。
效能祕訣
注意
效能取決於搜尋類型和數據結構。 如需最佳做法,請參閱 查詢最佳做法。
可能的話,請使用區分大小寫 has_cs。
語法
T | where 資料列表示式 has ()
深入瞭解 語法慣例。
參數
| 姓名 | 類型 | 必要 | 描述 |
|---|---|---|---|
| T | string |
✔️ | 要篩選其記錄的表格式輸入。 |
| 資料行 | string |
✔️ | 用來篩選記錄的數據行。 |
| 運算式 | 純量或表格式 | ✔️ | 要搜尋的表達式。 如果值是表格式表示式,而且有多個數據行,則會使用第一個數據行。 |
傳回
述詞為 true的 T 數據列。
範例
StormEvents
| summarize event_count=count() by State
| where State has "New"
| where event_count > 10
| project State, event_count
輸出
| 州/省 | event_count |
|---|---|
| 紐約州 | 1,750 |
| 紐澤西州 | 1,044 |
| 新墨西哥州 | 527 |
| 新罕布夏州 | 394 |