Verwenden des order by-Operators
Der order by-Operator sortiert die Zeilen der Eingabetabelle nach mindestens einer Spalte.
Durch Verwenden eines Kommatrennzeichens kann er eine beliebige Spalte oder auch mehrere Spalten nutzen. Jede Spalte kann aufsteigend oder absteigend sein. Die Standardreihenfolge für eine Spalte ist absteigend.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc