本件、Splunk Enterprise ver.6.5.x より rename コマンドの扱いが変更された影響により、"Anomalous System Uptime" が正しく表示されなくなる製品の不具合となります。rename コマンドの詳細につきましては、下記のマニュアルをご参照ください。

http://docs.splunk.com/Documentation/Splunk/6.5.3/SearchReference/Rename#Renaming_a_field_that_does_...

解決策としては、デフォルトSPLから下記のとおり rename コマンドを取り除くことで、対象のレポートが正しく表示されます。

| `assets` | join type=outer asset_id [| tstats `summariesonly` count,latest(All_Performance.OS.Uptime.uptime) as uptime,max(_time) as time from datamodel=Performance.All_Performance where nodename=All_Performance.OS.Uptime by All_Performance.dest | `drop_dm_object_name(All_Performance)` | `get_asset(dest)` | `unprepend_assets(dest)` | search (`get_category(pci)`) () | fields time uptime asset_id] | search (`get_category(pci)`) () uptime>2592000 | `uptime2string(uptime,uptime)` | `uitime(time)` | sort – uptime

なお、本不具合は、ver.3.3.0 および ver.3.3.1 で報告され、ver. 3.4.0 にて修正されております。