Команда sort сортирует все результаты по указанным полям. Пропущенные поля обрабатываются как имеющие наименьшее или наибольшее возможное значение этого поля, если порядок по убыванию или возрастанию соответственно. Если первым аргументом команды сортировки является число, то возвращается не более того количества результатов по порядку. Если номер не указан, используется ограничение по умолчанию 10000. Если указано число 0, возвращаются все результаты.
Сортировка по типам полей
Мы можем назначить конкретный тип данных для искомых полей. Существующий тип данных в наборе данных Splunk может отличаться от типа данных, который мы вводим в поисковый запрос. В приведенном ниже примере мы сортируем поле состояния как числовое в порядке возрастания. Кроме того, поле с именем url ищется как строка, а отрицательный знак указывает на сортировку по убыванию.
Сортировка до предела
Мы также можем указать количество результатов, которые будут отсортированы, а не весь результат поиска. Приведенный ниже результат поиска показывает сортировку только 50 событий со статусом по возрастанию и URL-адресом по убыванию.
Использование обратного
Мы можем переключать результат всего поискового запроса, используя предложение reverse. Полезно использовать существующий запрос, не изменяя и не отменяя результат сортировки по мере необходимости.