sort命令按指定的字段对所有结果进行排序。如果顺序分别是降序或升序，则将丢失的字段视为具有该字段的最小或最大可能值。如果sort命令的第一个参数是数字，则最多按顺序返回许多结果。如果未指定数字，则使用默认限制10000。如果指定数字0，则返回所有结果。

按字段类型排序

我们可以为要搜索的字段分配特定的数据类型。 Splunk数据集中的现有数据类型可能与我们在搜索查询中强制执行的数据类型不同。在下面的示例中，我们将状态字段按升序排序为数字。另外，将名为url的字段搜索为字符串，并且负号指示排序的降序。

排序到极限

我们还可以指定要排序的结果数，而不是整个搜索结果。以下搜索结果仅显示状态为升序且url为降序的50个事件的排序。

使用反向

我们可以使用反向子句来切换整个搜索查询的结果。使用现有查询而不需要在需要时更改和反转排序结果很有用。