Kontrybutorzy w programie GitHub: Edytuj w trybie z połączeniem ! w operatorze
Filtruje zestaw rekordów dla danych bez łańcucha znaków, w którym rozróżniana jest wielkość liter.
W poniższej tabeli przedstawiono porównanie operatorów has :
| Operator | Opis | Rozróżnianie wielkości liter | Przykład (uzysk true) |
|---|---|---|---|
in |
Jest równe jednemu z elementów | Tak | "abc" in ("123", "345", "abc") |
!in |
Nie równa się żadnym z elementów | Tak | "bca" !in ("123", "345", "abc") |
in~ |
Jest równe dla dowolnego z elementów | Nie | "Abc" in~ ("123", "345", "abc") |
!in~ |
Nie równa się żadnym z elementów | Nie | "bCa" !in~ ("123", "345", "ABC") |
- W wyrażeniach tabelarycznych wybrana jest pierwsza kolumna tabeli wynikowej.
- Lista wyrażeń może zawierać maksymalnie
1,000,000wartości. - Tablice zagnieżdżone są spłaszczane w postaci pojedynczej listy wartości. Na przykład
x in (dynamic([1,[2,3]]))staje sięx in (1,2,3).
Więcej informacji na temat innych operatorów oraz określenie, który operator jest najbardziej odpowiedni dla danego zapytania, zawiera sekcja operatory łańcuchowe danych typu danych.
Wskazówki dotyczące wydajności
Wydajność zależy od typu wyszukiwania i struktury danych.
W celu uzyskania szybszych wyników należy użyć operatora, w którym jest rozróżniana wielkość liter, na przykład in, a nie in~.
Jeśli testowana jest obecność symbolu lub słowa alfanumerycznego, które jest powiązane znakami niealfanumerycznymi na początku lub końcu pola, w celu uzyskania szybszych wyników należy użyć produktu has lub in.
Składnia
T | where col !in (lista wyrażeń skalarnych) T | where col !in (wyrażenie tabelaryczne)
Argumenty
- T -dane wejściowe tabelaryczne, których rekordy mają być filtrowane.
- col -Kolumna do filtrowania.
- lista wyrażeń -rozdzielana przecinkami lista wyrażeń tabelarycznych, skalarnych lub literałowych.
- wyrażenie tabelaryczne -wyrażenie tabelaryczne, które ma zestaw wartości. Jeśli wyrażenie ma wiele kolumn, używana jest pierwsza kolumna.
Zwraca
Wiersze w T , dla których predykatem jest true.
Przykład
events
| project data_source_name, name
| where data_source_name !in("CiscoNAC", "Checkpoint", "CiscoASA","MICROSOFTWindowsSource5")
| limit 2
Wyniki
| nazwa_źródła_danych | nazwa |
|---|---|
| microsoftWindowsSource3 | Przesyłanie działań |
| microsoftWindowsSource3 | Procedura Obsługi Protokołu WinRM Zamknięta Sesja |