Partager via


has, opérateur

S’applique à : ✅Microsoft Fabric✅Azure Data ExplorerAzure MonitorMicrosoft Sentinel

Filtre un jeu d’enregistrements pour les données avec une chaîne non sensible à la casse. hasrecherche des termes indexés, où un terme indexé est de trois caractères ou plus. Si votre terme est inférieur à trois caractères, la requête analyse les valeurs de la colonne, ce qui est plus lent que la recherche du terme dans l’index de terme.

Le tableau suivant compare les has opérateurs à l’aide des abréviations fournies :

  • RHS = côté droit de l’expression
  • LHS = côté gauche de l’expression
Opérateur Description Respecte la casse Exemple (génère true)
has Le terme de droite est un terme entier dans le terme de gauche Non "North America" has "america"
!has Le terme de droite n'est pas un terme entier à gauche Non "North America" !has "amer"
has_cs Le terme de droite est un terme entier à gauche Oui "North America" has_cs "America"
!has_cs Le terme de droite n'est pas un terme entier à gauche Oui "North America" !has_cs "amer"

Pour plus d’informations sur d’autres opérateurs et pour déterminer l’opérateur le plus approprié pour votre requête, consultez les opérateurs de chaîne de type de données.

Astuces pour les performances

Remarque

Les performances dépendent du type de recherche et de la structure des données. Pour connaître les meilleures pratiques, consultez les meilleures pratiques relatives aux requêtes.

Si possible, utilisez les has_cs respectant la casse.

Syntaxe

Expression de colonne T | where has ()

En savoir plus sur les conventions de syntaxe.

Paramètres

Nom Type Requise Description
T string ✔️ entrée tabulaire dont les enregistrements doivent être filtrés.
Colonne string ✔️ Colonne utilisée pour filtrer les enregistrements.
Expression scalaire ou tabulaire ✔️ Expression pour laquelle effectuer une recherche. Si la valeur est une expression tabulaire et comporte plusieurs colonnes, la première colonne est utilisée.

Retours

Lignes dans T dont le prédicat est défini sur true.

Exemple

StormEvents
| summarize event_count=count() by State
| where State has "New"
| where event_count > 10
| project State, event_count

Sortie

State event_count
NEW YORK 1,750
NEW JERSEY 1 044
NOUVEAU-MEXIQUE 5:27
NEW HAMPSHIRE 394