ago()

适用于:✅Azure 数据资源管理器Azure MonitorMicrosoft Sentinel

从当前 UTC 时间减去给定时间跨度

now() 一样,如果在单个查询语句中多次使用 ago(),则引用的当前 UTC 时间在所有使用中都是相同的。

语法

ago(timespan)

详细了解语法约定

参数

客户 类型​​ 必需 说明
timespan timespan ✔️ 要从当前 UTC 时钟时间 now() 减去的间隔。 有关可能的时间跨度值的完整列表,请参阅时间跨度文本

返回

日期/时间值等于当前时间减去时间跨度。

示例

过去一小时内具有时间戳的所有行:

T | where Timestamp > ago(1h)