sourcetype=my-job "Get Connection Details" | spath input=Message | search FileName=* | rename event.Values.Connections{}.ClientName as ThirdParty
Этот запрос возвращает некоторое количество записей N, но как только я применяю приведенный ниже фильтр
| dedup FileName| table FileName, ThirdParty | fillnull value=N/A | sort ThirdParty desc
Запрос показывает только N-M записей.
Следовательно, он не показывает всю третью часть в результате