Splunk - Ordenar comando

los sortcomando ordena todos los resultados por campos especificados. Los campos que faltan se tratan como si tuvieran el valor más pequeño o más grande posible de ese campo si el orden es descendente o ascendente, respectivamente. Si el primer argumento del comando sort es un número, se devuelven como máximo esa cantidad de resultados, en orden. Si no se especifica ningún número, se utiliza el límite predeterminado de 10000. Si se especifica el número 0, se devuelven todos los resultados.

Ordenar por tipos de campo

Podemos asignar un tipo de datos específico para los campos que se buscan. El tipo de datos existente en el conjunto de datos de Splunk puede ser diferente al tipo de datos que aplicamos en la consulta de búsqueda. En el siguiente ejemplo, ordenamos el campo de estado como numérico en orden ascendente. Además, el campo denominado url se busca como una cadena y el signo negativo indica un orden descendente de clasificación.

Ordenar hasta un límite

También podemos especificar la cantidad de resultados que se ordenarán en lugar de todo el resultado de la búsqueda. El siguiente resultado de búsqueda muestra la clasificación de solo 50 eventos constatus como ascendente y url como descendente.

Usando inversa

Podemos alternar el resultado de una consulta de búsqueda completa usando la cláusula inversa. Es útil utilizar la consulta existente sin alterar ni invertir el resultado de la clasificación cuando sea necesario.