Оператор has_cs
Область применения: ✅Microsoft Fabric✅Azure Data Explorer✅Azure Monitor✅Microsoft Sentinel
Фильтрует набор записей для данных с помощью строки поиска с учетом регистра. has_cs ищет индексированные термины, где индексированные термины — три или более символов. Если ваш термин меньше трех символов, запрос сканирует значения в столбце, что медленнее, чем поиск термина в индексе термина.
В следующей таблице сравниваются has операторы с использованием предоставленных сокращенных фрагментов:
- RHS = справа от выражения
- LHS = левая сторона выражения
| Operator | Description | С учетом регистра | Пример (при true) |
|---|---|---|---|
has |
Правая часть представляет собой все слово в левой части | No | "North America" has "america" |
!has |
ПЧ не является полным термином в ЛЧ | No | "North America" !has "amer" |
has_cs |
ПЧ представляет целый термин в ЛЧ | Да | "North America" has_cs "America" |
!has_cs |
ПЧ не является полным термином в ЛЧ | Да | "North America" !has_cs "amer" |
Дополнительные сведения о других операторах и определении наиболее подходящих операторов для запроса см. в разделе строковых операторов типа данных.
Советы по производительности
Примечание.
Производительность зависит от типа поиска и структуры данных. Рекомендации см. в разделе "Рекомендации по запросу".
Синтаксис
Выражение столбца T | where has_cs ()
Дополнительные сведения о соглашениях синтаксиса.
Параметры
| Имя (название) | Type | Обязательно | Описание |
|---|---|---|---|
| T | string |
✔️ | Табличные входные данные, записи которых будут отфильтрованы. |
| Столбец | string |
✔️ | Столбец, используемый для фильтрации записей. |
| Выражение | скалярный или табличный | ✔️ | Выражение, для которого требуется выполнить поиск. Если значение является табличным выражением и содержит несколько столбцов, используется первый столбец. |
Возвраты
Строки в T, для которых предикат имеет значение true.
Пример
StormEvents
| summarize event_count=count() by State
| where State has_cs "FLORIDA"
Выходные данные
| Штат | event_count |
|---|---|
| FLORIDA | 1042 |
Так как все State значения прописываются, поиск строчной строки с одинаковым значением, например "флорида", не даст никаких результатов.
StormEvents
| summarize event_count=count() by State
| where State has_cs "florida"
Выходные данные
| Штат | event_count |
|---|---|