!has 運算子
適用於:✅Microsoft網狀架構✅Azure 數據✅總管 Azure 監視器✅Microsoft Sentinel
篩選沒有相符大小寫字串的數據記錄集。 !has 會搜尋索引字詞,其中索引 字詞 為三個或多個字元。 如果您的字詞少於三個字元,查詢會掃描數據行中的值,這比查閱字詞索引中的字詞慢。
下表使用提供的縮寫來比較 has 運算子:
- RHS = 表達式右側
- LHS = 表達式左側
| Operator | 描述 | 區分大小寫 | 範例 (yields true) |
|---|---|---|---|
has |
右手邊 (RHS) 是左側的整個詞彙 (LHS) | No | "North America" has "america" |
!has |
RHS 在 LHS 中不是完整詞彙 | No | "North America" !has "amer" |
has_cs |
RHS 是 LHS 中的完整詞彙 | Yes | "North America" has_cs "America" |
!has_cs |
RHS 在 LHS 中不是完整詞彙 | Yes | "North America" !has_cs "amer" |
如需其他運算符的詳細資訊,以及判斷哪一個運算元最適合您的查詢,請參閱 數據類型字串運算元。
效能祕訣
注意
效能取決於搜尋類型和數據結構。 如需最佳做法,請參閱 查詢最佳做法。
可能的話,請使用區分大小寫 的 !has_cs。
語法
T | where 資料列表示式 !has ()
深入瞭解 語法慣例。
參數
| 姓名 | 類型 | 必要 | 描述 |
|---|---|---|---|
| T | string |
✔️ | 要篩選其記錄的表格式輸入。 |
| column | string |
✔️ | 要篩選的數據行。 |
| expression | 純量 | ✔️ | 要搜尋的純量或常值表達式。 |
傳回
述詞為 true的 T 數據列。
範例
StormEvents
| summarize event_count=count() by State
| where State !has "NEW"
| where event_count > 3000
| project State, event_count
輸出
| 州/省 | event_count |
|---|---|
| 德克薩斯州 | 4,701 |
| 堪薩斯州 | 3,166 |