Ergebnisse in umgekehrter zeitlicher Reihenfolge dargestellen?
Dafür gibt es einen einfachen Befehl, der am Ende der Suche aufgeführt wird: „reverse“.
Also z.B.
„search sourcetype=access_combined earliest=-7d@d latest=@d | reverse“
sucht alle HTTP-Events der letzten 7 Tage bis zum heutigen Tag 0.00 Uhr, und stellt die ältesten Events zuerst dar.