datetime - 从查询结果中排除某些日期/时间？（例如，美国东部标准时间周四午夜至凌晨 2 点）

Question

我是 KQL 的新手，我正在尝试针对对扩展名为“.config”的文件所做的配置更改编写查询，并希望删除在“TimeGenerated [UTC]”列下生成的结果。结果应不包括周四从美国东部标准时间午夜至凌晨 2 点。了解 TimeGenerated 是 UTC，查询应该抵消它以返回 EST。有人能帮我写这个吗？不知道如何编写它以使其返回排除特定时间范围的结果。以下是我到目前为止的内容：

ConfigurationChange
| where dayofweek(datetime_add('hour', -5, TimeGenerated)) != 4d and hourofday(datetime_add('hour', -5, TimeGenerated)) !in(0, 1) // <---
| where ConfigChangeType in ("Files")
| where FileSystemPath endswith ".config"
| sort by TimeGenerated
| render table

score 0 · Accepted Answer

0

替换4d为4, 因为dayofweek()返回天数（0 到 6 之间）。

于 2022-01-20T15:29:41.700 回答

datetime - 从查询结果中排除某些日期/时间？（例如，美国东部标准时间周四午夜至凌晨 2 点）

1 回答 1

Related

Reference