operador has_all
Aplica-se a: ✅Microsoft Fabric✅Azure Data Explorer✅Azure Monitor✅Microsoft Sentinel
Filtra um conjunto de registros de dados com uma ou mais cadeias de caracteres de pesquisa que não diferenciam maiúsculas de minúsculas. has_allPesquisas por termos indexados, em que um termo indexado tem três ou mais caracteres. Se o termo tiver menos de três caracteres, a consulta examinará os valores na coluna, o que é mais lento do que pesquisar o termo no índice de termos.
Para obter mais informações sobre outros operadores e determinar qual operador é mais apropriado para sua consulta, consulte operadores de cadeia de caracteres de tipo de dados.
Sintaxe
T | where colhas_all ( expressão ...,)
Saiba mais sobre as convenções de sintaxe.
Parâmetros
| Nome | Digitar | Obrigatória | Descrição |
|---|---|---|---|
| T | string |
✔️ | A entrada tabular a ser filtrada. |
| col | string |
✔️ | A coluna pela qual filtrar. |
| expressão | escalar ou tabular | ✔️ | Uma expressão que especifica os valores a serem pesquisados. Cada expressão pode ser um valor escalar ou uma expressão tabular que produz um conjunto de valores. Se uma expressão tabular tiver várias colunas, a primeira coluna será usada. A pesquisa considerará até 256 valores distintos. |
Devoluções
As linhas em T para as quais o predicado é true.
Exemplos
Conjunto de escalares
A consulta a seguir mostra como usar has_all com um conjunto separado por vírgulas de valores escalares.
StormEvents
| where EpisodeNarrative has_all ("cold", "strong", "afternoon", "hail")
| summarize Count=count() by EventType
| top 3 by Count
Saída
| EventType | Count |
|---|---|
| Thunderstorm Wind | 517 |
| Granizo | 392 |
| Saturação de Flash | 24 |
Matriz dinâmica
O mesmo resultado pode ser alcançado usando uma notação de matriz dinâmica.
StormEvents
| where EpisodeNarrative has_all (dynamic(["cold", "strong", "afternoon", "hail"]))
| summarize Count=count() by EventType
| top 3 by Count
Saída
| EventType | Count |
|---|---|
| Thunderstorm Wind | 517 |
| Granizo | 392 |
| Saturação de Flash | 24 |
A mesma consulta também pode ser escrita com uma instrução let.
let criteria = dynamic(["cold", "strong", "afternoon", "hail"]);
StormEvents
| where EpisodeNarrative has_all (criteria)
| summarize Count=count() by EventType
| top 3 by Count
| EventType | Count |
|---|---|
| Thunderstorm Wind | 517 |
| Granizo | 392 |
| Saturação de Flash | 24 |