Udostępnij za pośrednictwem

!has, operator

  • Artykuł

Dotyczy: ✅Microsoft Fabric✅Azure Data ExplorerAzure MonitorMicrosoft Sentinel

Filtruje zestaw rekordów dla danych, które nie mają pasującego ciągu bez uwzględniania wielkości liter. !has wyszukuje indeksowane terminy, w których indeksowany termin ma co najmniej trzy znaki. Jeśli termin ma mniej niż trzy znaki, zapytanie skanuje wartości w kolumnie, co jest wolniejsze niż wyszukiwanie terminu w indeksie terminów.

Poniższa tabela porównuje operatory has przy użyciu podanych skrótów:

  • RHS = prawa strona wyrażenia
  • LHS = lewa strona wyrażenia
Operator opis Uwzględniana wielkość liter Przykład (plony true)
has Prawa strona (RHS) to cały termin w lewej stronie (LHS) Nie. "North America" has "america"
!has RHS nie jest pełnym terminem w LHS Nie. "North America" !has "amer"
has_cs RHS to cały termin w LHS Tak "North America" has_cs "America"
!has_cs RHS nie jest pełnym terminem w LHS Tak "North America" !has_cs "amer"

Aby uzyskać więcej informacji na temat innych operatorów i określić, który operator jest najbardziej odpowiedni dla zapytania, zobacz operatory ciągów typu danych.

Wskazówki dotyczące wydajności

Uwaga

Wydajność zależy od typu wyszukiwania i struktury danych. Aby uzyskać najlepsze rozwiązania, zobacz Najlepsze rozwiązania dotyczące zapytań.

Jeśli to możliwe, użyj wielkości liter !has_cs.

Składnia

Wyrażenie kolumny T | where !has ()

Dowiedz się więcej na temat konwencji składni.

Parametry

Nazwisko Type Wymagania opis
T string ✔️ Dane wejściowe tabelaryczne, których rekordy mają być filtrowane.
kolumna string ✔️ Kolumna, według której ma być filtrowany.
wyrażenie skalar ✔️ Wyrażenie skalarne lub literał, dla którego ma być wyszukiwane.

Zwraca

Wiersze w języku T , dla których predykat to true.

Przykład

StormEvents
| summarize event_count=count() by State
| where State !has "NEW"
| where event_count > 3000
| project State, event_count

Wyjście

Stan event_count
TEKSAS 4,701
KANSAS 3,166