Używanie operatora order by
Sortuj wiersze tabeli wejściowej według co najmniej jednej kolumny.
Operator order by może używać dowolnej kolumny lub wielu kolumn przy użyciu separatora przecinka. Każda kolumna może być rosnąca lub malejąca. Domyślna kolejność kolumny jest malejąca.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc