Bitte sehen Sie sich das Bild unten an. Ich habe dedupfür eingegeben job_duration, aber es wurde nicht im Suchergebnis angezeigt. Ich brauche nur ein Ergebnis zur Visualisierung.
Antwort1
Es sieht so aus, als ob job_min ein mehrwertiges Feld ist, das von nicht unterstützt wird dedup. Versuchen Sie es mit ... | eval job_min=mvdedup(duration) | ....
Antwort2
Wenn job_mines sich um ein mehrwertiges Feld handelt, sollten Sie mvexpandzuerst
Und statt dedupversuchen Sie es mitstats
So was:
| mvexpand job_min
| stats count by job_min
| fields - count