ago()
从当前 UTC 时钟时间减去给定时间跨度。
ago(1h)
ago(1d)
与 now() 类似,此函数可在语句中多次使用,并且所有实例化引用的 UTC 时钟时间均相同。
语法
ago(a_timespan)
参数
- a_timespan:要从当前 UTC 时钟时间 (
now()) 减去的间隔。
返回
now() - a_timespan
示例
过去一小时内具有时间戳的所有行:
T | where Timestamp > ago(1h)
从当前 UTC 时钟时间减去给定时间跨度。
ago(1h)
ago(1d)
与 now() 类似,此函数可在语句中多次使用,并且所有实例化引用的 UTC 时钟时间均相同。
ago(a_timespan)
now()) 减去的间隔。now() - a_timespan
过去一小时内具有时间戳的所有行:
T | where Timestamp > ago(1h)