Använd ordningen efter operator
Sortera raderna i indatatabellen efter en eller flera kolumner.
Ordningen efter operator kan använda valfri kolumn eller flera kolumner med hjälp av en kommaavgränsare. Varje kolumn kan vara stigande eller fallande. Standardordningen för en kolumn är fallande.
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc