我正在编写Splunk查询,以检索具有特定标识符令牌的错误代码,然后使用top命令根据出现的顺序对它们进行排序。但是现在,我试图按字典顺序排列top命令的输出。
我尝试通读Splunk SPL的一些文档,但找不到能够使我执行此操作的命令或选项。
message=SplunkLogging::* | top limit=0 userQuery
例如,如果您具有以下计数:A-2,B-5,C-1,D-2,我希望结果按如下顺序排序:B-5,A-2,D-2 ,C-1。
答案 0 :(得分:1)
通常的方法是创建一个临时字段,其中包含要排序的值。像这样:
message=SplunkLogging::*
| top limit=0 userQuery
| rex field=userQuery "- (?<sorter>\d+)"
| sort - sorter
| fields - sorter