ago()
适用于:✅Azure 数据资源管理器✅Azure Monitor✅Microsoft Sentinel
从当前 UTC 时间减去给定时间跨度。
与 now() 一样,如果在单个查询语句中多次使用 ago(),则引用的当前 UTC 时间在所有使用中都是相同的。
语法
ago(timespan)
详细了解语法约定。
参数
| 客户 |
类型 |
必需 |
说明 |
| timespan |
timespan |
✔️ |
要从当前 UTC 时钟时间 now() 减去的间隔。 有关可能的时间跨度值的完整列表,请参阅时间跨度文本。 |
返回
日期/时间值等于当前时间减去时间跨度。
示例
过去一小时内具有时间戳的所有行:
T | where Timestamp > ago(1h)