HOME
Splunk認定 Core Certified Advanced Power User

「Splunk認定 Core Certified Advanced Power User」の記事一覧

REXコマンドで、名前付き抽出グループ(?P…)を1つのサーチ内で複数回使用した場合の動作はどれか。

同一フィールド名への複数回の抽出は、自動的にマルチバリューとして格納されます。

2026年3月23日

マルチバリューフィールド内の値をアルファベット順に並べ替える関数はどれか。

mvsort関数は、リスト内の要素を昇順にソートした新しいマルチバリューを返します。

2026年3月23日

フィールドが「NULL」または「空文字（””）」であるかを一度に判定するのに適した関数はどれか。

len(field) > 0 を条件にすることで、NULLと空文字の両方を実質的に排除できます。

2026年3月23日

サブサーチの結果が大きすぎる場合に発生する「subsearch_maxout」エラーの対策として正しいものはどれか。

設定変更よりも、検索効率を上げてサブサーチが返す結果数を減らすことが推奨されます。

2026年3月23日

フィールド「User」の値が「Admin」から始まるイベントをすべて除外する正しいSPLはどれか。

whereコマンドとlike関数を組み合わせることで、ワイルドカードを用いた除外が可能です。

2026年3月23日

2つのサーチ結果セットを「和集合（重複排除あり）」として統合するコマンドはどれか。

set unionコマンドは2つの結果を統合し、完全に重複する行を1つにまとめます。

2026年3月23日

streamstatsで「window=5」を指定した際、計算対象となるのはどの範囲か。

window引数は、計算に使用するイベントの最大数を現在の行から遡って指定します。

2026年3月23日

サーチ結果にフィールドが表示されない原因として、最も可能性が高い設定ミスはどれか。

サーチ時のフィールド抽出やエイリアス、計算済みフィールドの設定ミスが主な原因です。

2026年3月23日

outputlookupコマンドで、既存のCSVの内容を上書きせず、重複しない行だけを追加するオプションはどれか。

append=trueは単純な追記のみを行い、既存行の重複チェックや更新機能は持ちません。

2026年3月23日

データモデルの「加速（Acceleration）」を有効にした際、インデクサー側で動作するプロセスはどれか。

インデクサーはバックグラウンドで「summarize」プロセスを動かし、サマリーデータを生成します。

2026年3月23日