我在日志分析工作区中编写一个简单的KQL查询时遇到问题。基本上,我想过滤掉所有秘密有效期超过3年的申请注册。
我进行了以下查询,但我认为我的自定义日期时间仍然被视为字符串,而不是日期时间类型。以下是查询:
//create a new date which is 3 years later than today
let newyear = format_datetime(datetime_add('year',3,datetime(now)), 'M/d/y, h:m:s.fff tt');
//Query the AppRegs for SecretEndDate ending at least in 2025
AppRegExp_CL
|project AppRegName_s, AppID_g, SecretEndDate_t
|where SecretEndDate_t >= datetime(newyear)
我总是收到同样的错误:
Query could not be parsed at 'datetime(newyear)'on line [6,0]
我试过使用makedatetime(), to_datetime(),但结果是一样的。通常我不处理KQL查询,所以可能我遗漏了一些非常明显的东西。我希望你能帮我
谢谢
由于SecretEndDate_t是datetime类型,因此不需要转换。
//create a new date which is 3 years later than today
let newyear = datetime_add('year', 3, now());
//Query the AppRegs for SecretEndDate ending at least in 2025
AppRegExp_CL
|project AppRegName_s, AppID_g, SecretEndDate_t
|where SecretEndDate_t >= newyear