Contribute in GitHub: Online bearbeiten ! contains, Operator
Filtert eine Datensatzgruppe nach Daten, die keine Zeichenfolge mit Beachtung der Groß-/Kleinschreibung enthalten. contains sucht nach Zeichen anstelle von Begriffen mit mindestens drei Zeichen. Die Abfrage durchsucht die Werte in der Spalte, was langsamer ist als die Suche nach einem Begriff in einem Begriffsindex.
Die folgende Tabelle enthält einen Vergleich der contains -Operatoren:
| Bediener | Beschreibung | Groß-/Kleinschreibung muss beachtet werden. | Beispiel (ergibt true) |
|---|---|---|---|
contains |
RHS tritt als Teilsequenz von LHS auf | Nein | "Success Audit" contains "audit" |
!contains |
RHS tritt nicht in LHS auf | Nein | "Success Audit" !contains "auditing" |
contains_cs |
RHS tritt als Teilsequenz von LHS auf | Ja | "Success Audit" contains_cs "Audit" |
!contains_cs |
RHS tritt nicht in LHS auf | Ja | "Success Audit !contains_cs "auD" |
In der obigen Tabelle werden die folgenden Abkürzungen verwendet:
- RHS = rechte Seite des Ausdrucks
- LHS = linke Seite des Ausdrucks
Weitere Informationen zu anderen Operatoren und zum Bestimmen, welcher Operator für Ihre Abfrage am besten geeignet ist, finden Sie unter Datentypzeichenfolgeoperatoren.
Operatoren, bei denen die Groß-/Kleinschreibung nicht beachtet werden muss, werden derzeit nur für ASCII-Text unterstützt. Verwenden Sie für einen Nicht-ASCII-Vergleich die Funktion tolower () .
Tipps zur Leistung
Die Leistung hängt vom Typ der Suche und von der Struktur der Daten ab.
Verwenden Sie für schnellere Ergebnisse die von der Groß-/Kleinschreibung abhängige Version eines Operators, z. B. contains_cs, nicht contains.
Wenn Sie testen, ob ein Symbol oder ein alphanumerisches Wort vorhanden ist, das an nicht alphanumerische Zeichen am Anfang oder am Ende eines Feldes gebunden ist, verwenden Sie für schnellere Ergebnisse has oder in. has arbeitet schneller als contains, startswithoder endswith, ist jedoch nicht so präzise und kann unerwünschte Datensätze bereitstellen.
Syntax
Syntax ohne Beachtung der Groß-/Kleinschreibung
T | where Spalte !contains (Ausdruck)
Argumente
- T -Die Tabelleneingabe, deren Datensätze gefiltert werden sollen
- Spalte -Die zu filternde Spalte.
- Ausdruck -Skalarer Ausdruck oder Literalausdruck.
Retouren
Zeilen in T , für die das Prädikat trueist
Beispiel
events
| project original_time, data_source_name, name
//--- Search for the last 5 mins of data
| where original_time > now(-5m)
// Look for events with unsuccessful audit
| where name !contains "success"
| take 2
Die Ergebnisse
| Ursprüngliche Zeit | datenquellenname | Name |
|---|---|---|
| 2023-04-13T13:59:29.732Z | microsoftWindowsSource2 | Fehlerprüfung: Ein Account konnte sich nicht anmelden. |
| 22023-04-13T13:59:30.900Z | microsoftWindowsSource2 | Fehlerprüfung: Ein Account konnte sich nicht anmelden. |