where 연산자
적용 대상: ✅Microsoft Fabric✅Azure Data Explorer✅Azure Monitor✅Microsoft Sentinel
테이블을 조건자를 충족하는 행의 하위 집합으로 필터링합니다.
where및filter연산자는 동일합니다.
구문
T | where 조건자
구문 규칙에 대해 자세히 알아봅니다.
매개 변수
| 이름 | Type | 필수 | 설명 |
|---|---|---|---|
| T | string |
✔️ | 레코드를 필터링할 테이블 형식 입력입니다. |
| 술어 | string |
✔️ | T의 각 행에 대해 부울로 계산되는 식입니다. |
반품
조건자가 있는 T의 행입니다true.
참고 항목
모든 필터링 함수는 null 값과 비교할 때 false를 반환합니다. 특수 null 인식 함수를 사용하여 null 값을 처리하는 쿼리를 작성합니다.
성능 팁
열 이름과 상수 간의 간단한 비교를 사용합니다. ('Constant'는 테이블에 대한 상수이므로
now()ago()정상이며 문을 사용하여let할당된 스칼라 값도 마찬가지입니다.)예를 들어 .
where Timestamp >= ago(1d)where bin(Timestamp, 1d) == ago(1d)가장 간단한 용어: 여러 절이 결합된
and경우 먼저 하나의 열만 포함하는 절을 배치합니다. 그래서Timestamp > ago(1d) and OpId == EventId주변의 다른 방법보다 낫다.
자세한 내용은 사용 가능한 문자열 연산자 요약 및 사용 가능한 숫자 연산자 요약을 참조하세요.
예제
복잡성별 순서 비교
다음 쿼리는 손상된 속성을 보고하고, 홍수이며, 다른 위치에서 시작하고 끝나는 Storm 레코드를 반환합니다.
여기서 연산자는 인덱스를 사용할 수 없고 강제로 검사를 수행할 수 없으므로 두 열 간의 비교를 마지막으로 했습니다.
StormEvents
| project DamageProperty, EventType, BeginLocation, EndLocation
| where DamageProperty > 0
and EventType == "Flood"
and BeginLocation != EndLocation
다음 표에는 상위 10개 결과만 표시됩니다. 전체 출력을 보려면 쿼리를 실행합니다.
| DamageProperty | EventType | BeginLocation | EndLocation |
|---|---|---|---|
| 5000 | 홍수 | 페이엣 시티 로우버 | |
| 5000 | 홍수 | 모리스빌 웨스트 웨인스버그 | |
| 10000 | 홍수 | 코플랜드 해리스 그로브 | |
| 5000 | 홍수 | 글렌포드 MT 페리 | |
| 25000 | 홍수 | 이스트 세네카 버팔로 에어파크 ARPT | |
| 20000 | 홍수 | 에벤에셀 슬론 | |
| 10000 | 홍수 | 부엘 칼훈 | |
| 10000 | 홍수 | 굿호프 웨스트 밀포드 | |
| 5000 | 홍수 | 덩케르크 숲 | |
| 20000 | 홍수 | 파밍턴 매닝턴 |
열에 문자열이 포함되어 있는지 확인
다음 쿼리는 "cow"라는 단어가 열에 표시되는 행을 반환합니다.
StormEvents
| where * has "cow"