Contribuir en GitHub:

operador de ordenación

Ordene las filas de la tabla de entrada por orden de una o más columnas.

events | sort by original_time desc

Alias

order

Sintaxis

T | sort by expresión [asc | desc] [nulls first | nulls last] [, ...]

Argumentos

T: la entrada de tabla que se va a ordenar.
expression: una expresión escalar por la que ordenar. El tipo de los valores debe ser numérico, de fecha, de hora o de cadena.
asc Ordenar por orden ascendente, de bajo a alto. El valor predeterminado es desc, que desciende de alto a bajo.
nulls first (el valor predeterminado para el orden asc ) colocará los valores nulos al principio y nulls last (el valor predeterminado para el orden desc ) colocará los valores nulos al final.

Ejemplo

En este ejemplo, estamos buscando todos los registros en events que tienen un name que no es 'Swizzor Botnet Traffic', ordenados por el nombre. Si la columna name contiene valores nulos, estos aparecerán en las primeras líneas del resultado.

events
    | project name, original_time
    | where original_time > ago(5m)
    | where name != 'Swizzor Botnet Traffic'
    | distinct name
    | sort by name asc nulls first
    | limit 5

Resultados

`name`
`NULL`
`(Primary) Failover cable OK`
`(Primary) Failover cable Not OK`
`(Primary) Failover message block alloc failed`
`30419 Internet Explorer 8 XSS Attack`
`A fatal alert was generated and sent to the remote endpoint`

Para excluir valores nulos del resultado, añada un filtro antes de la llamada para ordenar:

events
    | project name, original_time
    | where original_time > ago(5m)
    | where name != 'Swizzor Botnet Traffic' and isnotnull(name)
    | distinct name
    | sort by name asc
    | limit 5

Resultados

`name`
`(Primary) Failover cable OK`
`(Primary) Failover cable Not OK`
`(Primary) Failover message block alloc failed`
`30419 Internet Explorer 8 XSS Attack`
`A fatal alert was generated and sent to the remote endpoint`