Contribute in GitHub: Online bearbeiten WHERE-Operator
Filtert eine Tabelle nach der Untergruppe von Zeilen, die ein Vergleichselement erfüllen
Aliasname filter
Syntax
T | where Prädikat
Argumente
| Ausdr | Typ | Erforderlich | Beschreibung |
|---|---|---|---|
| D | Tabelle | ✓ | Die Tabelleneingabe, deren Datensätze gefiltert werden sollen |
| Prädikat | int | Ein boolean Ausdruck über die Spalten von T. Sie wird für jede Zeile in T ausgewertet |
- T: Die Tabelleneingabe, deren Datensätze gefiltert werden sollen
- Prädikat: Ein
booleanAusdruck über die Spalten von T. Sie wird für jede Zeile in Tausgewertet.
Retouren
Zeilen in T , für die Prädikat trueist.
Hinweise Nullwerte: Alle Filterfunktionen geben beim Vergleich mit Nullwerten ' false' zurück. Sie können spezielle Nullwertfunktionen verwenden, um Abfragen zu schreiben, die Nullwerte verarbeiten.
Beispiel: Einfache Vergleiche zuerst
In diesem Beispiel werden Ereignisse abgerufen, die nicht älter als 5 Minuten sind, und der Name ist nicht null und entspricht nicht 'Swizzor Botnet Traffic'.
Beachten Sie, dass hier der Alias limit anstelle von take verwendet wird.
events
| project name, original_time=unixtime_milliseconds_todatetime(original_time)
| where original_time > ago(5m)
| where name != 'Swizzor Botnet Traffic' and isnotnull(name)
| limit 5
Die Ergebnisse
| Name | Ursprüngliche Zeit |
|---|---|
| Sitzung verweigert | 2023-01-20 12:39:16.936 |
| Datenverkehrsstart | 2023-01-20 12:39:16.936 |
| Datenverkehrsstart | 2023-01-20 12:39:16.937 |
| Datenverkehrsende | 2023-01-20 12:39:16.937 |
| Datenverkehrsende | 2023-01-20 12:39:16.937 |