Splunk-並べ替えコマンド

*sort* コマンドは、指定されたフィールドですべての結果をソートします。 順序がそれぞれ降順または昇順である場合、欠落しているフィールドは、そのフィールドの可能な最小値または最大値を持つものとして扱われます。 sortコマンドの最初の引数が数値の場合、最大でその数の結果が順番に返されます。 番号を指定しない場合、デフォルトの制限である10000が使用されます。 0を指定すると、すべての結果が返されます。

フィールドタイプによる並べ替え

検索するフィールドに特定のデータ型を割り当てることができます。 Splunkデータセットの既存のデータ型は、検索クエリで適用するデータ型と異なる場合があります。 次の例では、ステータスフィールドを数値として昇順で並べ替えます。 また、urlという名前のフィールドは文字列として検索され、マイナス記号はソートの降順を示します。

Sort1

制限まで並べ替える

検索結果全体ではなく、並べ替える結果の数を指定することもできます。 以下の検索結果では、 status が昇順で、 url が降順である50個のイベントのみがソートされています。

Sort2

リバースの使用

reverse句を使用して、検索クエリ全体の結果を切り替えることができます。 ソート結果を必要に応じて変更したり、逆にしたりせずに、既存のクエリを使用すると便利です。

Sort3