Por favor, veja a imagem abaixo. Insirai dedupfor job_duration, mas não apareceu no resultado da pesquisa. Eu só preciso de um resultado para fazer a visualização.
Responder1
Parece que job_min é um campo de vários valores, que não é compatível com dedup. Tentar ... | eval job_min=mvdedup(duration) | ....
Responder2
Se job_minestiver em um campo de vários valores, você deve mvexpandprimeiro
E, em vez de dedup, tente usarstats
Assim:
| mvexpand job_min
| stats count by job_min
| fields - count