Utiliser l’ordre par opérateur
Trier les lignes de la table d'entrée dans l'ordre selon une ou plusieurs colonnes.
L’opérateur Order By peut utiliser une colonne ou plusieurs colonnes à l’aide d’un séparateur de virgule. Pour chaque colonne, l’ordre peut être croissant ou décroissant. L’ordre par défaut d’une colonne est décroissant.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc