ago()
適用於:✅Microsoft網狀架構✅Azure 數據✅總管 Azure 監視器✅Microsoft Sentinel
從目前的UTC時間減去指定的 時間範圍 。
和 一樣 now(),如果您在 ago() 單一查詢語句中使用多次,則所有使用的目前 UTC 時間都相同。
語法
ago(timespan)
深入瞭解 語法慣例。
參數
| 姓名 | 類型 | 必要 | 描述 |
|---|---|---|---|
| timespan | timespan |
✔️ | 要從目前 UTC 時鐘時間 now()減去的間隔。 如需可能時間範圍值的完整清單,請參閱 時間範圍常值。 |
傳回
datetime 值等於目前時間減去時間範圍。
範例
過去一小時內具有時間戳的所有數據列:
T | where Timestamp > ago(1h)