Hey Splunk- community,

theres another problem which must solved again. The following query....

index=machinedata_w05_sum app=StörungenPulveranlagen "Linie 1" earliest=@d latest=now
| where Arbeitsplatz="Arbeitsplatz Pulveranlagen" OR Arbeitsplatz="Arbeitsplatz Einhängen" OR Arbeitsplatz="Arbeitsplatz Aushängen"
| transaction startswith="kommend" endswith="gehend"
| eval Arbeitsbeginn="5:30:00"
| eval Arbeitsbeginn_unix=strptime(Arbeitsbeginn, "%H:%M:%S")
| eval Störzahl=mvcount(Störung)
| search Störzahl!=2
| multireport
    [ stats first(Arbeitsbeginn_unix) AS Arbeitsbeginn_unix]
    [ stats sum(duration) AS "Stördauer_gesamt"]
    [ search Störung="Schichtende" OR Störung="Pause"
    | stats sum(duration) AS "Pausendauer"]
| eval Stördauer=Stördauer_gesamt-Pausendauer
| eval Arbeitszeit=now()-Arbeitsbeginn_unix-Pausendauer
| eval Verfügbarkeit=round((Arbeitszeit-Stördauer)/(Arbeitszeit)*100 , 1)
| table Stördauer_gesamt Pausendauer Arbeitsbeginn_unix Arbeitszeit Verfügbarkeit Stördauer

...doesn't want to calculate any fields after "| multireport ... ]". I tested  Stördauer="Stördauer_gesamt"-"Pausendauer"; Stördauer='Stördauer_gesamt'-'Pausendauer'; Stördauer=tonumber(Stördauer_gesamt)-tonumber(Pausendauer).... Nothing works. I wonder because all previous and used fields have values:

Does sombody have an idea where's the problem?

Thanks in advance and kind regards
Felix