Contribuir no GitHub: Editar on-line ! tem operador
Filtra um conjunto de registro para dados que não têm uma sequência de correspondência sem distinção entre maiúsculas e minúsculas has procura termos indexados, em que um termo é três ou mais caracteres. Se o seu termo tiver menos de três caracteres, a consulta varre os valores na coluna, que é mais lento do que consultar o termo no índice do termo.
A tabela a seguir fornece uma comparação dos operadores has :
| Operador | Descrição | Distinção entre Maiúsculas e Minúsculas | Exemplo (produz true) |
|---|---|---|---|
has |
Lado direito (RHS) é um termo inteiro no lado esquerdo (LHS) | Não | "Login Failed" has "failed" |
!has |
RHS não é um termo completo em LHS | Não | "Login Failed" !has "fail" |
has_cs |
RHS é um termo inteiro em LHS | True | "Login Failed" has_cs "Failed" |
!has_cs |
RHS não é um termo completo em LHS | True | "Login Failed" !has_cs "fail" |
As abreviaturas a seguir são usadas na tabela acima:
- RHS = lado direito da expressão.
- LHS = lado esquerdo da expressão.
Para obter mais informações sobre outros operadores e para determinar qual operador é mais apropriado para sua consulta, consulte operadores de sequência de tipos de dados
Os operadores sem distinção entre maiúsculas e minúsculas são suportados atualmente apenas para texto ASCII Para comparação não ASCII, utilize a função tolower () .
Dicas de desempenho.
O desempenho depende do tipo de procura e da estrutura dos dados..
Para resultados mais rápidos, use a versão com distinção entre maiúsculas e minúsculas de um operador, por exemplo, has_cs, não has.
Se você estiver testando a presença de um símbolo ou palavra alfanumérica que é ligado por caracteres não alfanuméricos no início ou no final de um campo, para resultados mais rápidos, use has ou in.
Sintaxe
T | where Coluna !has (Expressão)
Argumentos
- T -A entrada tabular cujos registros devem ser filtrados
- Coluna -A coluna para filtrar.
- Expressão -expressão escalar ou literal.
Devoluções
As linhas em T para as quais o predicado é true
Exemplo
events
| project original_time, data_source_name, name
//--- Search for the last 5 mins of data and events don't contain login
| where original_time > now(-5m) and name !has "login"
| take 2
Resultados
| original_time | data_source_name | nome |
|---|---|---|
| 2023-04-09T21:31:24.620Z | microsoftWindowsSource2 | Iniciando o backup. |
| 2023-04-09T21:31:24.620Z | microsoftWindowsSource6 | Terminando o backup |