Splunk – comando ordenar

A Clasificar el comando ordena todos los resultados por los campos especificados. Los campos que faltan se tratan como si tuvieran el valor más pequeño o más grande posible para ese campo si el orden es descendente o ascendente, respectivamente. Si el primer argumento del comando sort es un número, no se devuelven en orden más de este número de resultados. Si no se especifica ningún número, el límite predeterminado es 10000. Si el número es 0, se devuelven todos los resultados.

Ordenar por tipos de campo

Podemos asignar un tipo de datos específico a los campos que se buscan. El tipo de datos existente en el conjunto de datos de Splunk puede ser diferente del tipo de datos que usamos en nuestra consulta de búsqueda. En el siguiente ejemplo, estamos ordenando el campo de estado como numérico en orden ascendente. Además, el campo denominado url se busca como una cadena y el signo menos indica un orden de clasificación descendente.

Clasificación1

Ordenar hasta el límite

También podemos especificar el número de resultados que se ordenarán en lugar de todo el resultado de la búsqueda. El resultado de la búsqueda a continuación muestra la clasificación de solo 50 eventos con estado ascendente y url descendente.

Ordenar 2

Usando el reverso

Podemos revertir el resultado de una consulta de búsqueda completa utilizando la cláusula inversa. Es útil utilizar una consulta existente sin modificar ni cancelar el resultado de la clasificación según sea necesario.

Ordenar 3

En Este Curso

🚫