😋

Splunk SPL - sort

2025/01/13に公開

公式ページを参考にsortコマンドの使用方法を確認します。
https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/sort

sort

sortコマンドは、指定したフィールドで全ての結果をソートします。指定したフィールドが存在しない場合は、降順または昇順の順序で、それぞれの設定したフィールドの最小値または最大値として扱われます。

sortコマンドの最初の引数が数値の場合、最大でその数値の件数だけが順番に返されます。数値が指定されていない場合は、既定の制限である10000件が使用されます。数値0が指定されている場合は、すべての結果が返されます。

必須引数

<sort-by-clause>

構文: [ - | + ] <sort-field>, ( - | + ) <sort-field> ...
説明: ソートするフィールドのリストとソート順。降順の場合はマイナス記号(-)、昇順の場合はプラス記号(+)を使用します。複数のフィールドを指定する場合は、フィールド名をカンマで区切ります。

オプション引数

<count>

構文: <int> | limit=<int>
説明:ソートされた結果から返す結果の数を指定します。 count が指定されていない場合は、既定の 10000 件が使用されます。 0が指定された場合は、すべての結果が返されます。 count は整数で指定するか、または count の前にラベルを付けることができます。例えば、limit=10 のように指定します。この指定の仕方では、返される結果の数によってはパフォーマンスに悪影響を及ぼす可能性があります。
default:10000

使用例

1. ソートフィールドのオプションを使用し、フィールドの種類を指定

ipaddressで結果を昇順にソートし、urlフィールドで降順にソートします。

... | sort ip(ipaddress), -str(url)

2. ソートする結果の数を指定

sizeフィールドの降順で100件の検索結果をソートし、sourceの昇順でソートします。この例では、各フィールドのデータの型を指定しています。sizeフィールドには数値、sourceフィールドには文字列が含まれています。

... | sort 100 -num(size), +str(source)

3. 降順および昇順でのソート順指定

_timeフィールドで昇順に、host値で降順にソートした結果を表示します。

... | sort _time, -host

4. イベントのソート用に時間形式を変更

イベントの時間のフォーマットを変更し、evalコマンドで作成した時間フィールドで降順にソートします。

... | bin _time span=60m 
| eval Time=strftime(_time, "%m/%d %H:%M %Z") 
| stats avg(time_taken) AS AverageResponseTime BY Time 
| sort - Time

5. 直近のイベントを返す

直近のイベントを返します。

... | sort 1 -_time

6. <count> を使用する

limit を使用して、返す結果の数を指定することができます。hostフィールドで降順にソートし、最初の12件の結果を返します。

... | sort limit=12 host

Discussion