下の写真をご覧ください。 を挿入しましたdedupがjob_duration、検索結果に表示されませんでした。視覚化を行うには、1 つの結果だけが必要です。
答え1
job_min は複数値フィールドのようですが、 ではサポートされていませんdedup。 を試してください... | eval job_min=mvdedup(duration) | ...。
答え2
job_min複数値フィールドの場合は、mvexpandまず
そして、 の代わりにdedup、stats
このような:
| mvexpand job_min
| stats count by job_min
| fields - count