Por favor vea la imagen a continuación. Inserté deduppara job_duration, pero no apareció en el resultado de la búsqueda. Solo necesito un resultado para hacer la visualización.
Respuesta1
Parece que job_min es un campo de valores múltiples, que no son compatibles con dedup. Intentar ... | eval job_min=mvdedup(duration) | ....
Respuesta2
Si job_minestá en un campo de varios valores, mvexpandprimero debe
Y, en lugar de dedup, intenta usarstats
Como esto:
| mvexpand job_min
| stats count by job_min
| fields - count