Splunk - Commande de tri

le sortLa commande trie tous les résultats selon les champs spécifiés. Les champs manquants sont traités comme ayant la valeur la plus petite ou la plus grande possible de ce champ si l'ordre est respectivement décroissant ou croissant. Si le premier argument de la commande de tri est un nombre, ce nombre au maximum de résultats est renvoyé, dans l'ordre. Si aucun nombre n'est spécifié, la limite par défaut de 10000 est utilisée. Si le nombre 0 est spécifié, tous les résultats sont renvoyés.

Tri par types de champs

Nous pouvons attribuer un type de données spécifique aux champs recherchés. Le type de données existant dans l'ensemble de données Splunk peut être différent du type de données que nous appliquons dans la requête de recherche. Dans l'exemple ci-dessous, nous trions le champ d'état comme numérique dans l'ordre croissant. De plus, le champ nommé url est recherché sous forme de chaîne et le signe négatif indique l'ordre décroissant de tri.

Trier jusqu'à une limite

Nous pouvons également spécifier le nombre de résultats qui seront triés au lieu de l'ensemble du résultat de la recherche. Le résultat de recherche ci-dessous montre le tri de seulement 50 événements avecstatus comme ascendant et url comme descendant.

Utilisation de la marche arrière

Nous pouvons basculer le résultat d'une requête de recherche entière en utilisant la clause reverse. Il est utile d'utiliser la requête existante sans modifier et inverser le résultat du tri en cas de besoin.