Contribuer dans GitHub: Editer en ligne ago ()
Soustrait l' intervalle de temps indiqué de l'heure UTC actuelle.
A l'instar de now(), si vous utilisez ago() plusieurs fois dans une même instruction de requête, l'heure UTC en cours référencée sera la même pour toutes les utilisations.
Syntaxe
ago(intervalle de temps)
Paramètres
| Nom | Type | Obligatoire | Descriptif |
|---|---|---|---|
| Période couverte | Période couverte | ✓ | Intervalle à soustraire de l'heure UTC actuelle now(). |
Retours
now() - a_timespan
Exemple
Toutes les lignes avec un horodatage au cours de la dernière heure:
|events
| project original_time, data_source_name
| where original_time > ago(5m)
and data_source_name !contains_cs "ASA"
| summarize EventCount=count() by DataSourceName=data_source_name
| project DataSourceName, EventCount
| sort by EventCount
| take 10
Les résultats
| DataSourceNom | EventCount |
|---|---|
| CheckPointSource1 | 102394 |
| CheckPointSource2 | 101391 |