Splunk-ソートコマンド

ザ・ sortコマンドは、指定されたフィールドですべての結果を並べ替えます。順序が降順または昇順の場合、欠落しているフィールドは、そのフィールドの可能な最小値または最大値を持つものとして扱われます。sortコマンドの最初の引数が数値の場合、最大でその数の結果が順番に返されます。番号が指定されていない場合、デフォルトの制限である10000が使用されます。数値0を指定すると、すべての結果が返されます。

フィールドタイプによる並べ替え

検索対象のフィールドに特定のデータ型を割り当てることができます。Splunkデータセットの既存のデータ型は、検索クエリで適用するデータ型とは異なる場合があります。以下の例では、ステータスフィールドを数値として昇順で並べ替えています。また、urlという名前のフィールドは文字列として検索され、負の記号は並べ替えの降順を示します。

限界までソート

検索結果全体ではなく、並べ替える結果の数を指定することもできます。以下の検索結果は、50件のイベントのみの並べ替えを示しています。status 昇順として url 降順として。

リバースの使用

reverse句を使用して、検索クエリ全体の結果を切り替えることができます。必要に応じてソート結果を変更したり元に戻したりせずに、既存のクエリを使用すると便利です。