Sort 연산자
개요
다음으로 정렬된 데이터 sort. 기본 정렬 순서는 내림차순입니다.
| sort <필드 또는 식> [asc|desc] [nulls first|nulls last][, ...]예제
예제 데이터
let aws_alb = datatable [
{"p_event_time": "2023-09-16 05:45:34.863", "clientIp": "192.168.11.34", "elbStatusCode": 200, "requestHttpVersion": "HTTP/1.1"},
{"p_event_time": "2023-09-16 05:59:04.058", "clientIp": "192.168.1.1", "elbStatusCode": 403, "requestHttpVersion": "HTTP/1.1"},
{"p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.7", "elbStatusCode": 404, "requestHttpVersion": "HTTP/2.0"},
{"p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.1", "elbStatusCode": 200, "requestHttpVersion": "HTTP/1.1"}
];단일 필드로 정렬
aws_alb
| sort p_event_time{ "p_event_time": "2023-09-16 05:59:04.058", "clientIp": "192.168.1.1", "elbStatusCode": 403, "requestHttpVersion": "HTTP/1.1" }
{ "p_event_time": "2023-09-16 05:45:34.863", "clientIp": "192.168.11.34", "elbStatusCode": 200, "requestHttpVersion": "HTTP/1.1" }
{ "p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.1", "elbStatusCode": 200, "requestHttpVersion": "HTTP/1.1" }
{ "p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.7", "elbStatusCode": 404, "requestHttpVersion": "HTTP/2.0" }
여러 필드로 정렬
각기 다른 정렬 순서를 가진 여러 필드를 지정할 수 있습니다
{ "p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.7", "elbStatusCode": 404, "requestHttpVersion": "HTTP/2.0" }
{ "p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.1", "elbStatusCode": 200, "requestHttpVersion": "HTTP/1.1" }
{ "p_event_time": "2023-09-16 05:45:34.863", "clientIp": "192.168.11.34", "elbStatusCode": 200, "requestHttpVersion": "HTTP/1.1" }
{ "p_event_time": "2023-09-16 05:59:04.058", "clientIp": "192.168.1.1", "elbStatusCode": 403, "requestHttpVersion": "HTTP/1.1" }
알러트 심각도별 정렬
알러트를 쿼리하고 결과를 심각도별로 정렬할 때, 실제 심각도 순서(예: CRITICAL > HIGH > MEDIUM > LOW > 정보 또는 그 반대)를 의도하는 경우가 많습니다. 그러나 단순히 다음과 같은 절을 사용하면 | sort severity , 심각도 정렬은 알파벳 순으로 수행됩니다.
실제 심각도 순서로 정렬하려면, 다음을 활용하세요: case 함수를 사용하여 인리치먼트 데이터를 동적으로 접근하는 것도 가능합니다. 다음과 같이:
마지막 업데이트
도움이 되었나요?