Splunk 排序命令

The sort 命令按指定字段对所有结果进行排序。如果顺序分别为降序或升序,则缺失的字段被视为具有该字段的最小或最大可能值。如果 sort 命令的第一个参数是一个数字,则最多按顺序返回那么多结果。如果未指定数字,则使用默认限制 10000。如果指定数字 0,则返回所有结果。

按字段类型排序

我们可以为要搜索的字段分配特定的数据类型。 Splunk 数据集中的现有数据类型可能与我们在搜索查询中强制执行的数据类型不同。在下面的示例中,我们按升序将状态字段排序为数字。另外,以字符串形式搜索名为 url 的字段,负号表示降序排序。

Sort1

排序到一个限制

我们还可以指定要排序的结果数,而不是整个搜索结果。下面的搜索结果显示了仅 50 个事件的排序 status 作为上升和 url 作为下降。

Sort2

使用反向

我们可以使用 reverse 子句切换整个搜索查询的结果。在需要时使用现有查询而不更改和反转排序结果很有用。

Sort3
< 上一篇(Splunk 监控文件)
下一篇(Splunk 顶级命令) >

声明 :本网站尊重并保护知识产权,根据《信息网络传播权保护条例》,如果我们转载的作品侵犯了您的权利,请在一个月内通知我们(support@newbiego.com),我们会及时删除。

Copyright©小牛教程 2015-2021 粤ICP备15003982号