結合元と結合先のtimeフィールドの型が異なっている（整数、小数）とjoinできない模様。 round関数で型を揃えると良い。

環境

• Splunk 8.0.6

例

index="sample"
| eval time = round(_time, 0)
| join type=inner time [
| tstats max(_time) as latest where index="sample"
| eval time = round(latest, 0)
| fields time
]

参考

Solved: Why does a join of a search and subsearch on _time... - Splunk Community