Contribute in GitHub: Online bearbeiten enthält (Operator)
Filtert eine Datensatzgruppe nach Daten, die eine Zeichenfolge ohne Beachtung der Groß-/Kleinschreibung enthalten. contains sucht nach Zeichen anstelle von Begriffen mit mindestens drei Zeichen. Die Abfrage durchsucht die Werte in der Spalte, was langsamer ist als die Suche nach einem Begriff in einem Begriffsindex.
Die folgende Tabelle enthält einen Vergleich der contains -Operatoren:
| Bediener | Beschreibung | Groß-/Kleinschreibung muss beachtet werden. | Beispiel (ergibt true) |
|---|---|---|---|
contains |
RHS tritt als Teilsequenz von LHS auf | Nein | "Success Audit" contains "audit" |
!contains |
RHS tritt nicht in LHS auf | Nein | "Success Audit" !contains "auditing" |
contains_cs |
RHS tritt als Teilsequenz von LHS auf | Ja | "Success Audit" contains_cs "Audit" |
!contains_cs |
RHS tritt nicht in LHS auf | Ja | "Success Audit !contains_cs "auD" |
In der obigen Tabelle werden die folgenden Abkürzungen verwendet:
- RHS = rechte Seite des Ausdrucks
- LHS = linke Seite des Ausdrucks
Weitere Informationen zu anderen Operatoren und zum Bestimmen, welcher Operator für Ihre Abfrage am besten geeignet ist, finden Sie unter Datentypzeichenfolgeoperatoren.
Operatoren, bei denen die Groß-/Kleinschreibung nicht beachtet werden muss, werden derzeit nur für ASCII-Text unterstützt. Verwenden Sie für einen Nicht-ASCII-Vergleich die Funktion tolower () .
Tipps zur Leistung
Die Leistung hängt vom Typ der Suche und von der Struktur der Daten ab.
For better performance, try the case-sensitive version of an operator, for example, contains_cs, not contains.
Wenn Sie testen, ob ein Symbol oder ein alphanumerisches Wort vorhanden ist, das durch nicht alphanumerische Zeichen am Anfang oder am Ende eines Felds gebunden ist, sollten Sie has oder inverwenden, um die Leistung zu verbessern. has arbeitet schneller als contains, startswithoder endswith, ist jedoch nicht so präzise und kann unerwünschte Datensätze bereitstellen.
Syntax
T | where Spalte contains (Ausdruck)
Argumente
- T -Die Tabelleneingabe, deren Datensätze gefiltert werden sollen
- col -Die zu filternde Spalte.
- expression -Skalarer Ausdruck oder Literalausdruck.
Retouren
Zeilen in T , für die das Prädikat trueist
Beispiel
events
| project original_time, data_source_name, name, user_id
//--- Search for the last 5 mins of data
| where original_time > now(-5m)
// Look for events with sucessful audit
| where name contains "success audit"
| take 2
Die Ergebnisse
| Ursprüngliche Zeit | datenquellenname | Name |
|---|---|---|
| 2023-04-13T13:59:29.732Z | microsoftWindowsSource2 | Erfolgsprüfung: Der Domänencontroller hat die Berechtigungsnachweise für ein Konto validiert |
| 22023-04-13T13:59:30.900Z | microsoftWindowsSource4 | Erfolgsprüfung: Ein Account wurde erfolgreich angemeldet. |