Usare l'operatore order by
Ordinare le righe della tabella di input in base a una o più colonne.
L'operatore order by può utilizzare qualsiasi colonna o più colonne separandole con una virgola. Ogni colonna può essere ordinata in modo crescente o decrescente. L'ordine predefinito per una colonna è decrescente.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc