!has – operátor
Platí pro: ✅Microsoft Fabric✅Azure Data Explorer✅Azure Monitor✅Microsoft Sentinel
Filtruje sadu záznamů pro data, která nemají odpovídající řetězec nerozlišující malá a velká písmena. !has vyhledá indexované termíny, kde indexovaný termín je tři nebo více znaků. Pokud je termín menší než tři znaky, dotaz zkontroluje hodnoty ve sloupci, což je pomalejší než vyhledávání termínu v indexu termínů.
Následující tabulka porovnává operátory has pomocí zadaných zkratek:
- RHS = pravá strana výrazu
- LHS = levá strana výrazu
| Operátor | Popis | Rozlišovat malá a velká písmena | Příklad (výnosy true) |
|---|---|---|---|
has |
Pravá strana (RHS) je celý termín na levé straně (LHS). | No | "North America" has "america" |
!has |
RHS není úplný termín v LHS | No | "North America" !has "amer" |
has_cs |
RHS je celý termín v LHS | Ano | "North America" has_cs "America" |
!has_cs |
RHS není úplný termín v LHS | Ano | "North America" !has_cs "amer" |
Další informace o jiných operátorech a určení, který operátor je pro váš dotaz nejvhodnější, najdete v tématu řetězcové operátory datového typu.
Tipy týkající se výkonu
Poznámka:
Výkon závisí na typu vyhledávání a struktuře dat. Osvědčené postupy najdete v tématu Osvědčené postupy pro dotazy.
Pokud je to možné, použijte !has_cs s rozlišováním velkých a malých písmen.
Syntaxe
Výraz sloupce T | where !has ()
Přečtěte si další informace o konvencích syntaxe.
Parametry
| Název | Type | Požadováno | Popis |
|---|---|---|---|
| T | string |
✔️ | Tabulkový vstup, jehož záznamy mají být filtrovány. |
| sloupec | string |
✔️ | Sloupec, podle kterého chcete filtrovat. |
| výraz | skalární | ✔️ | Skalární nebo literální výraz, pro který se má hledat. |
Návraty
Řádky v T , pro které je truepredikát .
Příklad
StormEvents
| summarize event_count=count() by State
| where State !has "NEW"
| where event_count > 3000
| project State, event_count
Výstup
| State | event_count |
|---|---|
| TEXAS | 4,701 |
| KANSAS | 3,166 |