使用 order by 運算子
依據一個或多個資料行,排序輸入資料表的資料列。
Order by 運算子可透過逗號分隔符號來利用任一資料行或多個資料行。 各個資料行可以為遞增或遞減。 資料行的預設順序為遞減。
SecurityEvent
| where ProcessName != "" and Process != ""
| extend StartDir = substring(ProcessName,0, string_size(ProcessName)-string_size(Process))
| order by StartDir desc, Process asc