Splunk Core Certified Power User (SPLK-1002) を受けた話し
2024.11.08Splunk Core Certified User (SPLK-1001) に続き、Splunk Core Certified Power User (SPLK-1002) を受験して合格しました。
これから受けようと考えている方の参考になればと思い、備忘録として書こうと思います。
Splunk Core Certified User (SPLK-1002) とは
Splunkの認定試験の中で2番目にとるべき試験となるかと思います。
この資格を持っていないと、Splunk Enterprise Certified Admin および Splunk Cloud Certified Adminを受けることができません。
この試験では、大きくは基本的な分析のやりかたや、ナレッジオブジェクトの使い方・設定方法について問われます。
試験勉強を始める前にまずはシラバスを確認しましょう。
勉強中にも、今どの分野について勉強を意識しながらやることは、全体的な理解をする上で助かるかと思います。
- 問題数: 65問
- 試験時間: 60分
- 出題範囲と点数割合
1.0 Using Transforming Commands for Visualizations 5%
2.0 Filtering and Formatting Results 10%
3.0 Correlating Events 15%
4.0 Creating and Managing Fields 10%
5.0 Creating Field Aliases and Calculated Fields 10%
6.0 Creating Tags and Event Types 10%
7.0 Creating and Using Macros 10%
8.0 Creating and Using Workflow Actions 10%
9.0 Creating Data Models 10%
10.0 Using the Common Information Model (CIM) Add-On 10%
さらに詳細な試験範囲の項目が先程のシラバスにも載っていますので、一度覗いてみることをおすすめします。
次に各項目の抑えておくべきポイントをまとめておきます。
1.0 Using Transforming Commands for Visualizations 5%
chart コマンド、timechart コマンドの、コマンドのユーケースと使いどころは理解しておく必要があります。
また引数の取り方をおさらいしておく必要があります。
useother、usernull、limit オプションの効果やデフォルト値も抑えておくと良いです。
2.0 Filtering and Formatting Results 10%
eval, tostring(), tonumber(), upper(), lower(), sutstr(),if(), where, case(), validate(), fieldformat(), fillnull() などのコマンドの利用ケース、利用方法について抑えておく必要があります。
また、eval で利用可能なオペレーターを確認しておきます。
3.0 Correlating Events 15%
transaction コマンドについて聞かれます。
個人的にはこれまで正直あまりこのコマンドを使うケースが見当たらなかったので、馴染みがなかったのですが、試験にはそこそこ出ます。(他が10%が多いですがこれだけ15%なのは納得)
transaction コマンドのユースケース、stats との違い、オプション指定した時の検索結果の違いなど、実践で使うことないかも?と思いながら、実践さながらの問題が多い印象でした。
4.0 Creating and Managing Fields 10%
GUIを使った正規表現または区切り文字による、フィールド抽出について問われます。
どの設定項目からField Extractorにたどり着けるか、自動的に正規表現のパターン認識させるための設定方法はどれか、区切り文字に利用可能な「区切り文字」はどれかについて聞かれます。
5.0 Creating Field Aliases and Calculated Fields 10%
フィールドエイリアスや計算済みフィールドはどういった役割を持つものか、GUIでの設定方法、それぞれの機能が適応される順番はどうかについて問われます。
6.0 Creating Tags and Event Types 10%
タグとイベントタイプはどういった役割を持っているか、それぞれの違いは何か、GUIでの設定方法(設定までのアクセス方法)、適応される順番、検索時の指定方法について問われます。
7.0 Creating and Using Macros 10%
マクロの特徴、役割、定義設定の方法(変数の使用)、利用の方法、引数の指定方法について問われます。
8.0 Creating and Using Workflow Actions 10%
ワークフローの設定方法、アクションの種別とそれぞれで選べる設定項目の内容、変数の設定、アクションごとの利用ケース、オプション内容ごとの動作の違いについて問われます。
9.0 Creating Data Models 10%
データモデルの設定方法、イベント・サーチ・トランザクションデータセットの設定方法、制約とフィールド、親子関係と継承、データモデルとピボットの操作、データモデルの制限、データモデルの高速化が可能な権限などについて問われます。
10.0 Using the Common Information Model (CIM) Add-On 10%
CIMについての概要、CIMで設定されるデータモデルの種類について抑えておく必要があります。
試験までにやったこと
前回の試験を踏まえて、学習コンテンツはSplunkの公式トレーニングのサイトのSTEPで問題ないということが分かったので、STEP一択で勉強しました。
コースはこちらのものです。
Splunk Core Certified Power User (Exam Prep)
こちらのSTEPで無料のコンテンツの日本語キャプション付きを一通りやりました。
こちらで各章の説明動画を一周して理解を深め、ミニクイズで分からなかったところを動画や公式ドキュメントで復習というかたちです。
コースは(Correlation Analysis)だけ有料ですが、こちらはやっていません。
動画で説明している細かいところを抑えれば試験では問題ないかと思います。
試験についての感想
- 60分で65問なので、一問につき一分未満で解く必要があるので、即答で答えれるものがほとんどです。
- 直感で解いていって30分で一通り解き終わったので、もう一周頭から見直ししました。
- そんなに難しい、または分かりにくい問題はなかった印象です。
- STEPをきちんとやっておけば、出てくる問題はほぼ網羅されているかと思います。
- 今回もPearsonVueのオンラインテストで受けて、テスト結果はテスト終了後30分以内にメールで通知がき、点数は分からず、結果だけは前回と変わらずです。
最後に
Splunk Core Certified User に続き、Splunkでまず抑えるべき基本的かつ必須の知識について学ぶことができる試験だと感じました。
試験ではそれほど大きく出題数は大きくなかったとは思うのですが、STEPではかなり実践的なサーチコマンドの使い方を学べることができるので、実際のSplunk利用の際に非常に役に立つ内容かと思いました。
学習コンテンツも完全に無料でトライできるので、これから本格的にSplunkを始められる方など、ぜひ取得を検討していただければと思います。
![[小ネタ] Splunk マルチアカウントで便利なAWSの分析](https://devio2024-media.developers.io/image/upload/v1730418429/user-gen-eyecatch/ow3kzcnbmysbjxcw237y.png)
