HOME
Splunk認定 Enterprise Admin

「Splunk認定 Enterprise Admin」の記事一覧

特定のユーザーが保存済み検索（Scheduled Search）を作成することを禁止するために外すべき権限はどれか。

schedule_search権限を持つロールのみが、定期実行するサーチを作成できる。

2026年3月23日

Indexer Clusterにおいて、各ピアが保持するバケットの目録情報を何と呼ぶか。

Manifestファイルには、そのピアが保持するバケットのステータス情報が記録されている。

2026年3月23日

btoolコマンドで出力される結果に、設定値の由来（ファイルパス）を表示させるオプションはどれか。

--debugを付与することで、各設定がどのファイルのどの行から来ているかを確認できる。

2026年3月23日

Indexer Clusterにおいて、プライマリバケットが失われた際にマスターが最初に行うアクションはどれか。

検索を継続させるため、既存の非プライマリコピーを即座にプライマリに変更する。

2026年3月23日

Heavy Forwarderから別のHeavy Forwarderへデータを転送し、さらにIndexerへ送る構成を何と呼ぶか。

複数のForwarderを連鎖させる構成はForwarder Chainingと呼ばれる。

2026年3月23日

バケット名「db_1612140000_1612130000_1」における、後の数字の意味はどれか。

バケット名の数字は、そのバケットに含まれるイベントの時刻範囲（最新と最古）を示す。

2026年3月23日

大量の「Search Peer Not Responding」エラーが発生している場合、まず確認すべきリソースはどれか。

検索要求に応答できない原因の多くは、ネットワーク断絶またはIndexerの過負荷である。

2026年3月23日

サーチジョブがタイムアウトするのを防ぐために、UIの代わりにバックグラウンドで実行させる機能はどれか。

ジョブをバックグラウンド化（Send to background）することで、完了までサーバー側で実行を継続できる。

2026年3月23日

SAML認証を設定する際、Splunkがサービスプロバイダー（SP）として発行するものはどれか。

IdPに登録するためのMetadataファイルをSplunkからダウンロードして利用する。

2026年3月23日

props.confで定義された「EVENT_BREAKER」の正規表現は、どのコンポーネントで実行されるか。

UF側でイベントの境界を判定し、チャンク化して送信するために使用される。

2026年3月23日