HOME
Splunk認定 Core Certified Advanced Power User

「Splunk認定 Core Certified Advanced Power User」の記事一覧

マルチバリューフィールドの中から、正規表現に一致する最初の値のインデックスを返す関数はどれか。

mvfind(field, "regex")は一致する要素の0開始のインデックスを返し、なければNULLを返します。

2026年3月23日

REXコマンドで、複数の行にまたがる文字列（改行を含む）に一致させるためのフラグはどれか。

(?s)は「single line mode」と呼ばれ、ドット（.）が改行文字にも一致するようになります。

2026年3月23日

フィールド名のリストを動的に取得し、それらに対して一括で処理を行うコマンドはどれか。

foreachコマンドはワイルドカードで指定した複数のフィールドに対してループ処理を実行します。

2026年3月23日

2つのタイムスタンプの差を計算した後、それを「時:分:秒」の形式に変換する関数はどれか。

tostring(秒数, "duration")を使用すると、秒を人間が読みやすい形式に変換できます。

2026年3月23日

インデックス時に不要なフィールドを抽出しすぎないようにするために、props.confで調整すべき設定はどれか。

KV_MODE=noneに設定することで、サーチ時の自動的なフィールド抽出を無効化し負荷を下げられます。

2026年3月23日

statsコマンドの結果に対し、行ごとに条件に応じた集計値を上書きせず追加するコマンドはどれか。

eventstatsは集計結果を元の各イベントに新しいフィールドとして追加し、行をまとめません。

2026年3月23日

サーチ実行中に「Tag」が適用されるのは、どの要素の直後か。

イベントタイプが判定された直後に、それに関連付けられたタグがイベントに付与されます。

2026年3月23日

CIMの「Malware」データモデルにおいて、検知された脅威の名前を格納する標準フィールド名はどれか。

CIMではウイルスやマルウェアの名称はsignatureフィールドにマッピングされます。

2026年3月23日

データモデルの「データセット」をサーチ文で直接参照するコマンドはどれか。

from datamodel:"."の構文で、特定のデータセットをソースとして検索できます。

2026年3月23日

ルックアップ定義で「非限定的なルックアップ（WILDCARD(field)）」を有効にした際、テーブル側に含める記号はどれか。

match_type = WILDCARD(field)を設定すると、テーブル内のアスタリスクをワイルドカードとして扱えます。

2026年3月23日