HOME
Lv007

「Lv007」の記事一覧

eventstatsコマンドがstatsコマンドと決定的に異なる点はどれか。

eventstatsは集計結果を各イベントの新しいフィールドとして追加し、行数は変更しません。

2026年3月23日

KVストアを使用する利点として、CSVルックアップと比較して正しいものはどれか。

KVストアは行単位での追加・更新・削除を動的に行うことができます。

2026年3月23日

マクロ引数内の特殊文字を処理するために、マクロ定義名に使用される接尾辞はどれか。

マクロ名(引数の数)という形式で定義されますが、特殊な接尾辞は存在しません。

2026年3月23日

サーチ文の中で「*」を接頭辞として使用すること（例：*error）が非推奨な理由はどれか。

前方一致以外のワイルドカードは、Splunkのレキシコンを効率的にスキャンできず低速になります。

2026年3月23日

データモデルの「計算済みフィールド」で使用できない関数はどれか。

計算済みフィールドはeval関数をベースとしているため、コマンドであるsearchは使用できません。

2026年3月23日

検索結果のフィールド名を動的に変更するために使用するコマンドはどれか。

renameコマンドにより、既存のフィールド名を別の名前に置き換えることができます。

2026年3月23日

mvcombineコマンドを使用した際、結合された値の間に挿入されるデフォルトの区切り文字はどれか。

デフォルトでは各値は改行（newline）で区切られて1つのフィールドにまとめられます。

2026年3月23日

limits.confにおいて、1つのサーチで許可される最大の同時サブサーチ数はデフォルトでいくつか。

デフォルトでは1つの親サーチに対してサブサーチは3つまでに制限されています。

2026年3月23日

transactionコマンドとstatsコマンドを比較した際、transactionにしかできないことはどれか。

transactionは元のイベントの順序や生のテキスト内容（_raw）を保持したまま結合します。

2026年3月23日

サーチ時に有効なフィールド抽出を定義するprops.confの設定項目はどれか。

EXTRACT-はインライン正規表現によるサーチ時のフィールド抽出を定義します。

2026年3月23日