Contribute in GitHub: オンラインでの編集 endswith 演算子
大/小文字を区別しない終了ストリングを使用して、データのレコード・セットをフィルターに掛けます。
以下の表に、 endswith 演算子の比較を示します。
| オペレーター | 説明 | 大文字と小文字を区別する | 例 ( trueが生成されます) |
|---|---|---|---|
endswith |
RHS は、LHS の終了サブシーケンスです。 | いいえ | "microsoftWindowsSource5" endswith "CE5" |
!endswith |
RHS は LHS の終了サブシーケンスではありません | いいえ | "microsoftWindowsSource5" !endswith "micro" |
endswith_cs |
RHS は、LHS の終了サブシーケンスです。 | はい | "microsoftWindowsSource5" endswith_cs "ce5" |
!endswith_cs |
RHS は LHS の終了サブシーケンスではありません | はい | "microsoftWindowsSource5" !endswith_cs "CE5" |
上記の表では、以下の省略形が使用されています。
- RHS = 式の右側。
- LHS = 式の左側。
その他の演算子について、および照会に最も適した演算子を判別する方法について詳しくは、 データ・タイプ・ストリング演算子を参照してください。
大/小文字を区別しない演算子は、現在 ASCII テキストでのみサポートされています。 非 ASCII 比較の場合は、 tolower () 関数を使用します。
パフォーマンスのヒント
パフォーマンスは、検索のタイプとデータの構造によって異なります。
結果をより速くするには、演算子の大/小文字を区別するバージョンを使用します。例えば、 endswithではなく、 endswith_csを使用します。
構文
T | where col endswith (式)
引数
- T -レコードがフィルタリングされる表形式の入力。
- col -フィルタリングする列。
- expression -スカラーまたはリテラル式。
返品
述部が trueである T 内の行。
例
events
| project original_time, data_source_name, name
//--- Search for the last 5 mins of data
| where original_time > now(-5m)
//--- USER Criteria Here
| where data_source_name endswith "CE4"
| take 2
結果
| 元の時刻 | データ・ソース名 | 名前 |
|---|---|---|
| 2023-04-11T12:27:01.489Z | microsoftWindowsSource4 | 失敗した監査: 特権オブジェクト操作が失敗しました |
| 2023-04-11T14:52:33.756Z | microsoftWindowsSource4 | 資格情報マネージャーの資格情報が読み取られました |