- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料攝取
- Splunk - 資料來源型別
- Splunk - 基本搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 共享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 變換命令
- Splunk - 報表
- Splunk - 儀表盤
- Splunk - 透視表和資料集
- Splunk - 查詢
- Splunk - 排程和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基本圖表
- Splunk - 疊加圖表
- Splunk - Sparklines
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 監控檔案
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 排序命令
sort 命令按指定的欄位對所有結果進行排序。如果排序順序為降序或升序,則缺失的欄位將被視為具有該欄位的最小或最大可能值。如果 sort 命令的第一個引數是數字,則最多返回這麼多結果,按順序排列。如果未指定數字,則使用預設限制 10000。如果指定數字 0,則返回所有結果。
按欄位型別排序
我們可以為被搜尋的欄位分配特定的資料型別。Splunk 資料集中現有的資料型別可能與我們在搜尋查詢中強制執行的資料型別不同。在下面的示例中,我們將 status 欄位按數字升序排序。此外,名為 url 的欄位被搜尋為字串,負號表示排序的降序。
排序到限制
我們還可以指定將要排序的結果數量,而不是整個搜尋結果。下面的搜尋結果顯示了僅對 50 個事件進行排序,其中 status 為升序,url 為降序。
使用反轉
我們可以使用 reverse 子句切換整個搜尋查詢的結果。它在不更改和反轉排序結果的情況下使用現有查詢非常有用。
廣告