sort
sort operator は、集計検索結果を順序付けします。デフォルトのソート順は降順です。
ソートした後に、top または limit operator を使用して、返されたソート結果の数を削減できます。
order と sort は同義語です。クエリでは、どちらも同じ意味で使用できます。
構文
sort by <field> (displays results as descending, by default)sort by +<field> (displays results as ascending)sort by <field> asc (displays results as ascending)sort by <fieldA>, <fieldB>top <#> <field> by <group_by_operator>
ルール
- デフォルトのソート順序は降順です。
- ソートでは大文字と小文字が区別され、大文字より小文字が前に来ます。
- ソート順序を昇順に変更するには、ソートするフィールド名の前にプラス記号 (+) を付けます。あるいは、フィールド名の後に asc と入力します。
- 数値でソートするには、先にフィールドを数値にキャストしてください。(そうしないと、テキスト フィールドとしてソート順序が付けられます。)
例
status AND down | extract "user=(?<user>.*?):" | count (*) group by user | sort by _count... | count user | top 2 user by _count... | count user | sort by _count asc
