has_cs 運算子
適用於:✅Microsoft網狀架構✅Azure 數據✅總管 Azure 監視器✅Microsoft Sentinel
使用區分大小寫的搜尋字串篩選數據的記錄集。 has_cs 會搜尋索引字詞,其中索引 字詞 為三個或多個字元。 如果您的字詞少於三個字元,查詢會掃描數據行中的值,這比查閱字詞索引中的字詞慢。
下表使用提供的縮寫來比較 has 運算子:
- RHS = 表達式右側
- LHS = 表達式左側
| Operator | 描述 | 區分大小寫 | 範例 (yields true) |
|---|---|---|---|
has |
右手邊 (RHS) 是左側的整個詞彙 (LHS) | No | "North America" has "america" |
!has |
RHS 在 LHS 中不是完整詞彙 | No | "North America" !has "amer" |
has_cs |
RHS 是 LHS 中的完整詞彙 | Yes | "North America" has_cs "America" |
!has_cs |
RHS 在 LHS 中不是完整詞彙 | Yes | "North America" !has_cs "amer" |
如需其他運算符的詳細資訊,以及判斷哪一個運算元最適合您的查詢,請參閱 數據類型字串運算元。
效能祕訣
注意
效能取決於搜尋類型和數據結構。 如需最佳做法,請參閱 查詢最佳做法。
語法
T | where 資料列表示式 has_cs ()
深入瞭解 語法慣例。
參數
| 姓名 | 類型 | 必要 | 描述 |
|---|---|---|---|
| T | string |
✔️ | 要篩選其記錄的表格式輸入。 |
| 資料行 | string |
✔️ | 用來篩選記錄的數據行。 |
| 運算式 | 純量或表格式 | ✔️ | 要搜尋的表達式。 如果值是表格式表示式,而且有多個數據行,則會使用第一個數據行。 |
傳回
述詞為 true的 T 數據列。
範例
StormEvents
| summarize event_count=count() by State
| where State has_cs "FLORIDA"
輸出
| 州/省 | event_count |
|---|---|
| 佛羅里達州 | 1042 |
由於所有值都是 State 大寫的,因此搜尋具有相同值的小寫字串,例如 「florida」,不會產生任何結果。
StormEvents
| summarize event_count=count() by State
| where State has_cs "florida"
輸出
| 州/省 | event_count |
|---|---|