Splunk - comando de classificação

o sortcomando classifica todos os resultados por campos especificados. Os campos ausentes são tratados como tendo o menor ou maior valor possível desse campo se a ordem for decrescente ou crescente, respectivamente. Se o primeiro argumento do comando sort for um número, no máximo essa quantidade de resultados será retornada, em ordem. Se nenhum número for especificado, o limite padrão de 10.000 será usado. Se o número 0 for especificado, todos os resultados serão retornados.

Classificando por tipos de campo

Podemos atribuir tipos de dados específicos para os campos que estão sendo pesquisados. O tipo de dados existente no conjunto de dados Splunk pode ser diferente do tipo de dados que aplicamos na consulta de pesquisa. No exemplo a seguir, classificamos o campo de status como numérico em ordem crescente. Além disso, o campo denominado url é pesquisado como uma string e o sinal negativo indica a ordem decrescente de classificação.

Classificando até um Limite

Também podemos especificar o número de resultados que serão classificados em vez de todo o resultado da pesquisa. O resultado da pesquisa abaixo mostra a classificação de apenas 50 eventos comstatus como ascendente e url como decrescente.

Usando reverso

Podemos alternar o resultado de uma consulta de pesquisa inteira usando a cláusula reversa. É útil usar a consulta existente sem alterar e reverter o resultado da classificação como e quando necessário.