请看下图。我插入了dedup,job_duration但它没有显示在搜索结果中。我只需要一个结果来进行可视化。
答案1
job_min 似乎是一个多值字段,不支持dedup。请尝试... | eval job_min=mvdedup(duration) | ...。
答案2
如果job_min是多值字段,则应mvexpand首先
并且,而不是dedup尝试使用stats
像这样:
| mvexpand job_min
| stats count by job_min
| fields - count