我是sqlite3的新手,我创建了一个名为result的sqlite3数据库,该数据库具有_time表,该表根据我从Splunk查询的纪元时间列出IP地址。我正在尝试根据_time(纪元时间(表从我的 sqlite3 数据库中获取数据。
以下是 sqlite3 数据库中列出的_time和 IP 地址的副本:
1535139799|2002:8672:5ebf::8672:5ebf
1535139799|2002:8672:5ebf::8672:5ebf
1535131073|2002:8672:ba8a::8672:ba8a
1535131058|2002:8672:ba8a::8672:ba8a
1535131058|2002:8672:ba8a::8672:ba8a
1535131413|2002:8672:5ebf::8672:5ebf
1535131413|2002:8672:5ebf::8672:5ebf
1535120613|2002:8672:5ebf::8672:5ebf
1531944594|41.212.170.179
1531944594|38.108.250.243
问题是,无论我尝试过什么命令,它总是输出所有 IP 地址。我只需要 x 天(30 天前(的 IP 地址。我在网上看了很多例子,但仍然没有成功。我还查看了文档。 我试过:
SELECT * FROM result WHERE _time < (DATE('now', '-5 day'));
SELECT * FROM result WHERE _time > (DATE('now', '-5 days'));
SELECT * FROM result WHERE _time > (SELECT DATE('now', '-7 day'))
我已经更改了"天"的次数,但命令仍然获取所有列出的 IP 地址。我只需要从 x 天前(10 天前或 30 天前(获取 IP 地址。我假设 sqlite3 无法读取我的表中的纪元时间?
我已经在这个问题上呆了好几天了。我将继续寻找解决方案,感谢任何反馈!
基本上,您必须将比较参数的一侧转换为与另一个参数相同的类型。
您可以使用以下方法将调整后的现在(右侧参数(转换为秒:-
srtftime('%s','now',your_adjustment) or you could adjust the
或者,您可以使用以下方法将_time列转换为日期 (yyyy-mm-dd( 格式
date(_time,'unixepoch')
使用您的第一个示例,那么这可能是:-
SELECT * FROM result WHERE _time < strftime('%s','now', '-5 day');
或者可能是:-
SELECT * FROM result WHERE date(_time,'unixepoch') < date('now', '-5 day');