Пожалуйста, смотрите картинку ниже. Я вставил dedupдля job_duration, но он не отображается в результатах поиска. Мне нужен только один результат для визуализации.
решение1
Похоже, job_min — это многозначное поле, которое не поддерживается dedup. Попробуйте ... | eval job_min=mvdedup(duration) | ....
решение2
Если job_minнаходится в многозначном поле, вам следует mvexpandсначала
И вместо dedupпопробуйте использоватьstats
Так:
| mvexpand job_min
| stats count by job_min
| fields - count