検索文について、「｜」で分解し、どの部分に問題があるか、切り分けをされてはいかがでしょうか？

1) データの選択範囲が正しいか？

 sourcetype=d_log (source=i_device OR source=device OR source=i_device_n OR source=*i_device_r) 
| stats count by source

対象にしているsourceがカウントされているか、確認します。ここで対象から漏れている場合、inputs.confの設定を見直し、sourceとsourcetypeが期待通りに設定されるか、ご確認ください。

2) transpose

transposeでは引数を指定しないと、デフォルトは5となっています。transpose 10のように大きい数字を指定することで変化は見られませんか？

3) すべてのsourceにて、フィールド情報が含まれているでしょうか？fillnullの有無で件数に変化がないかを確認。

index= sourcetype=d_log (source=i_device OR source=device OR source=i_device_n OR source=*i_device_r) | rex field=id "(?<id>d+)@" | fillnull value="NULL" id c_id id serial type model version Carrier pp u_id wifi enrolled_date lastmodified number phone | stats latest(c_id) AS CID latest(id) as ID latest(serial) AS Serial latest(type) AS Type latest(model) AS Model latest(version) AS Version latest(Carrier) AS Carrier  latest(pp) AS PP latest(u_id) AS UID latest(wifi) AS wifi latest(enrolled_date) AS enrolled_date latest(lastmodified) as lastmodified by number | eval Enrolled=strftime(enrolled_date,"%Y/%m/%d %H:%M") | eval Lastupdated=strftime(lastmodified,"%Y/%m/%d %H:%M") | rename phone AS MSN | table CID ID MSN Serial Type Model Version Carrier PP UID wifi Enrolled Lastupdated | transpose

fillnullコマンドを追加する事で、期待結果が得られるなら、フィールドの値が正しく抽出できていないのかもしれません。

フィールド抽出設定をご確認ください。

フィールドが抽出できないケースが想定される場合には、fillnullコマンドによる対応が必要なのかもしれません。

参考にしていただければ幸いです。