Contribuir en GitHub: Editar en línea operador hasprefix_cs
Filtra un conjunto de registros para datos con una serie de inicio sensible a mayúsculas y minúsculas. has busca términos indexados, donde un término es de tres o más caracteres. Si el término tiene menos de tres caracteres, la consulta explora los valores de la columna, lo que es más lento que buscar el término en el índice de términos.
La tabla siguiente proporciona una comparación de los operadores de has :
| Operador | Descripción | Distinguir mayúsculas de minúsculas | Ejemplo (produce true) |
|---|---|---|---|
hasprefix |
RHS es un prefijo de término en LHS | Nee | "microsoftWindowsSource1" hasprefix "MICRO" |
!hasprefix |
RHS no es un prefijo de término en LHS | Nee | "microsoftWindowsSource1" !hasprefix "soft" |
hasprefix_cs |
RHS es un prefijo de término en LHS | Sí | "microsoftWindowsSource1" hasprefix_cs "micro" |
!hasprefix_cs |
RHS no es un prefijo de término en LHS | Sí | "microsoftWindowsSource1" !hasprefix_cs "MICRO" |
En la tabla anterior se utilizan las abreviaturas siguientes:
- RHS = lado derecho de la expresión
- LHS = lado izquierdo de la expresión
Para obtener más información sobre otros operadores y para determinar qué operador es el más adecuado para la consulta, consulte operadores de serie de tipo de datos.
Sugerencias de rendimiento
El rendimiento depende del tipo de búsqueda y de la estructura de los datos.
Para obtener resultados más rápidos, utilice la versión sensible a las mayúsculas y minúsculas de un operador, por ejemplo, hasprefix_cs, no hasprefix.
Sintaxis
T | where col hasprefix_cs (expresión)
Argumentos
- T : la entrada tabular cuyos registros se van a filtrar.
- col -La columna a filtrar.
- expression : expresión escalar o literal.
Devoluciones
Filas en T para las que el predicado es true.
Ejemplo
// hassuffix case sensitive
events
| project original_time, data_source_name, name
//--- Search for the last 5 mins of data
| where original_time > now(-5m)
//--- USER Criteria Here
| where data_source_name hasprefix_cs "micro"
| take 2
Resultados
| hora_original | nombre_origen_datos | nombre |
|---|---|---|
| 2023-04-11T15:59:37.596Z | microsoftWindowsSource2 | Información de ID de instancia |
| 2023-04-11T15:49:14.117Z | microsoftWindowsSource2 | Se ha suprimido una cuenta de usuario |