Splunk SPL - sort
公式ページを参考にsort
コマンドの使用方法を確認します。
sort
sort
コマンドは、指定したフィールドで全ての結果をソートします。指定したフィールドが存在しない場合は、降順または昇順の順序で、それぞれの設定したフィールドの最小値または最大値として扱われます。
sort
コマンドの最初の引数が数値の場合、最大でその数値の件数だけが順番に返されます。数値が指定されていない場合は、既定の制限である10000件が使用されます。数値0が指定されている場合は、すべての結果が返されます。
必須引数
<sort-by-clause>
構文: [ - | + ] <sort-field>, ( - | + ) <sort-field> ...
説明: ソートするフィールドのリストとソート順。降順の場合はマイナス記号(-)、昇順の場合はプラス記号(+)を使用します。複数のフィールドを指定する場合は、フィールド名をカンマで区切ります。
オプション引数
<count>
構文: <int> | limit=<int>
説明:ソートされた結果から返す結果の数を指定します。 count が指定されていない場合は、既定の 10000 件が使用されます。 0が指定された場合は、すべての結果が返されます。 count は整数で指定するか、または count の前にラベルを付けることができます。例えば、limit=10
のように指定します。この指定の仕方では、返される結果の数によってはパフォーマンスに悪影響を及ぼす可能性があります。
default:10000
使用例
1. ソートフィールドのオプションを使用し、フィールドの種類を指定
ipaddress
で結果を昇順にソートし、url
フィールドで降順にソートします。
... | sort ip(ipaddress), -str(url)
2. ソートする結果の数を指定
size
フィールドの降順で100件の検索結果をソートし、source
の昇順でソートします。この例では、各フィールドのデータの型を指定しています。size
フィールドには数値、source
フィールドには文字列が含まれています。
... | sort 100 -num(size), +str(source)
3. 降順および昇順でのソート順指定
_time
フィールドで昇順に、host
値で降順にソートした結果を表示します。
... | sort _time, -host
4. イベントのソート用に時間形式を変更
イベントの時間のフォーマットを変更し、eval
コマンドで作成した時間フィールドで降順にソートします。
... | bin _time span=60m
| eval Time=strftime(_time, "%m/%d %H:%M %Z")
| stats avg(time_taken) AS AverageResponseTime BY Time
| sort - Time
5. 直近のイベントを返す
直近のイベントを返します。
... | sort 1 -_time
6. <count> を使用する
limit を使用して、返す結果の数を指定することができます。host
フィールドで降順にソートし、最初の12件の結果を返します。
... | sort limit=12 host
Discussion