!has_cs 运算符

适用于:✅Azure 数据资源管理器Azure MonitorMicrosoft Sentinel

筛选记录集中未包含区分大小写的某个匹配字符串的数据。 !has_cs 搜索关键词,一个索引包含三个或三个以上字符。 如果字少于三个字符,则查询会扫描列中的值,这比在字索引中查找字要慢。

下表使用提供的缩写形式对 has 运算符进行比较:

  • RHS = 表达式的右侧
  • LHS = 表达式的左侧
运算符 描述 区分大小写 示例(生成 true
has 右侧 (RHS) 是左侧 (LHS) 的整体 "North America" has "america"
!has RHS 不是 LHS 中的完整词语 "North America" !has "amer"
has_cs RHS 是 LHS 中的完整词语 "North America" has_cs "America"
!has_cs RHS 不是 LHS 中的完整词语 "North America" !has_cs "amer"

有关其他运算符的详细信息以及确定哪个运算符最适合你的查询,请参阅数据类型字符串运算符

性能提示

注意

性能取决于搜索的类型和数据的结构。 有关最佳做法,请参阅查询最佳做法

语法

T | where !has_cs (表达式)

详细了解语法约定

参数

客户 类型​​ 必需 说明
T string ✔️ 其记录待筛选的表格输入。
column string ✔️ 进行筛选所依据的列。
expression 标量 (scalar) ✔️ 要搜索的标量或文本表达式。

返回

其谓词为 true 的 T 中的行。

示例

StormEvents
| summarize event_count=count() by State
| where State !has_cs "new"
| count

输出

Count
67