[解決済み] splunk のタイムチャートテーブルで、ある行の値に基づいて降順でソートすること

質問

これは私のスプランクのクエリです

index=xxxxx "searchTerm")|rex "someterm(?<errortype>)" | timechart count by
errortype span ="1w" | addcoltotals labelfield=total | fillnullvalue=TOTAL|fileds - abc,def,total

下の表のように、TOTALという別のカラムに1週間分のエラーの総数を追加しています。B...はアルファベット順のエラー名で、値はその日に発生したエラーの種類ごとの総数です。

_time       A....   A....   C....   D....   E....

2021-08-25  11      22      05      23      89  
2021-08-26  15      45      45      13      39  
2021-08-27  34      05      55      33      85
2021-08-28  56      08      65      53      09
2021-08-29  01      06      95      36      01
TOTAL       117     86      265     158     223

これらをTOTAL行の値で降順に並べたいのですが、以下のようにします。

265 223 158 117 86 

しかし、私はいつも次のようにerrortypeのアルファベット順に表示されます。

A... A... B...

このクエリを改良して、ソートされた結果を得るにはどうしたらよいでしょうか？

どのように解決するのですか？

そのためには、TOTALフィールドが行ではなく列になるように結果を転置してください。 そして、TOTALでソートして、結果を元に戻します。 以下は、実行例です。

index=_internal 
| timechart span="5m" count by component  
| addcoltotals labelfield=_time label="TOTAL"
| transpose header_field="_time" 0
| sort - TOTAL
| transpose header_field="column" 0
| rename column as _time