sort 命令按指定字段对所有结果进行排序。缺少的字段被视为具有该字段的最小值或最大值,具体取决于顺序是降序还是升序。如果 sort 命令的第一个参数是数字,则按顺序返回最多该数量的结果。如果没有指定数字,则使用 10000 的默认限制。如果指定数字 0,则返回所有结果。
Sorting By Field Types
我们可以为正在搜索的字段分配特定的数据类型。Splunk 数据集中的现有数据类型可能与我们在搜索查询中强制执行的数据类型不同。在下面的示例中,我们将 status 字段按升序排列为数字。此外,名为 url 的字段被搜索为字符串,减号表示降序排列。
Sorting up to a Limit
我们还可以指定要排序的结果数量,而不是整个搜索结果。以下搜索结果显示了仅按 status 升序和 url 降序排列的 50 个事件。
Using Reverse
我们可以使用 reverse 子句切换整个搜索查询的结果。在需要时,在不改变和逆转排序结果的情况下使用现有查询非常有用。
