Contribuir en GitHub: Editar en línea operadores! hasprefix
Filtra un conjunto de registros para datos que no incluyen una serie de inicio que no distingue entre mayúsculas y minúsculas. has busca términos indexados, donde un término es de tres o más caracteres. Si el término tiene menos de tres caracteres, la consulta explora los valores de la columna, lo que es más lento que buscar el término en el índice de términos.
La tabla siguiente proporciona una comparación de los operadores de hasprefix :
| Operador | Descripción | Distinguir mayúsculas de minúsculas | Ejemplo (produce true) |
|---|---|---|---|
hasprefix |
RHS es un prefijo de término en LHS | Nee | "microsoftWindowsSource1" hasprefix "MICRO" |
!hasprefix |
RHS no es un prefijo de término en LHS | Nee | "microsoftWindowsSource1" !hasprefix "soft" |
hasprefix_cs |
RHS es un prefijo de término en LHS | Sí | "microsoftWindowsSource1" hasprefix_cs "micro" |
!hasprefix_cs |
RHS no es un prefijo de término en LHS | Sí | "microsoftWindowsSource1" !hasprefix_cs "micro" |
En la tabla anterior se utilizan las abreviaturas siguientes:
- RHS = lado derecho de la expresión
- LHS = lado izquierdo de la expresión
Para obtener más información sobre otros operadores y para determinar qué operador es el más adecuado para la consulta, consulte operadores de serie de tipo de datos.
Los operadores que no distinguen entre mayúsculas y minúsculas sólo están soportados actualmente para texto ASCII. Para la comparación no ASCII, utilice la función tolower () .
Sugerencias de rendimiento
El rendimiento depende del tipo de búsqueda y de la estructura de los datos.
Para obtener resultados más rápidos, utilice la versión sensible a las mayúsculas y minúsculas de un operador, por ejemplo, hasprefix_cs, no hasprefix.
Si está probando la presencia de un símbolo o palabra alfanumérica enlazada por caracteres no alfanuméricos al principio o al final de un campo, para obtener resultados más rápidos utilice has o in.
Sintaxis
T | where Columna !hasprefix (Expresión)
Argumentos
- T : la entrada tabular cuyos registros se van a filtrar.
- Columna -La columna a filtrar.
- Expresión : expresión escalar o literal.
Devoluciones
Filas en T para las que el predicado es true.
Ejemplo
events
| project original_time, data_source_name, name
//--- Search for the last 5 mins of data
| where original_time > now(-5m)
//--- USER Criteria Here
| where data_source_name !hasprefix "soft"
| take 2
Resultados
| hora_original | nombre_origen_datos | nombre |
|---|---|---|
| 2023-04-11T15:31:24.714Z | microsoftWindowsSource1 | Motor de base de datos detenido |
| 2023-04-11T15:31:24.714Z | microsoftWindowsSource1 | El ámbito de DHCP está lleno o casi lleno |