NQL time_elapsed()

time_elapsed() 関数は、あるイベントから経過した時間を計算します。 この関数は、値を秒単位で返します。

この関数は、datetime データ型 のフィールドで使用します。例えば：

• devices テーブルの last_seen フィールド

• device_performance.boots テーブルの time

‘where’ 句での使用

where 句で time_elapsed() 関数を使用します。

例:

最後のoperating systemの更新が15日以上前のデバイスのリストを取得します。

devices
| where operating_system.last_update.time_elapsed() > 15d

‘list’ 句での使用

list 句で time_elapsed() 関数を使用します。

例:

デバイスと最後の起動からの経過時間をリストします。

devices
| include device_performance.boots
| where type == fast_startup
| compute last_fast_startup_time = time.last()
| list name, last_fast_startup_time.time_elapsed()

‘compute’ 句での使用

compute 句で time_elapsed() 関数を使用します。

例:

デバイスと最後の起動からの経過時間をリストします。 関数のチェーン化（同じフィールドで複数の関数を呼び出す）を適用します。

devices
| include device_performance.boots
| where type == fast_startup
| compute time_since_last_fast_startup = time.last().time_elapsed()