請看下圖。我插入了dedupfor job_duration,但它沒有顯示在搜尋結果中。我只需要一個結果即可進行視覺化。
答案1
看起來 job_min 是一個多值字段,dedup.嘗試... | eval job_min=mvdedup(duration) | ...。
答案2
如果job_min位於多值欄位中,您應該mvexpand首先
dedup並且,嘗試使用而不是stats
像這樣:
| mvexpand job_min
| stats count by job_min
| fields - count