SPLK-1002日本語問題集224問でSplunk Core Certified Power Userを確実実践 [Q117-Q138]

SPLK-1002日本語問題集224問でSplunk Core Certified Power Userを確実実践

リアル最新SPLK-1002日本語試験問題SPLK-1002日本語問題集

質問 # 117
次のアクションのうち、evalコマンドで実行できるのはどれですか？

• A. 1つ以上のフィールドでトランザクションをグループ化します。
• B. 他の検索で再利用するためにSPLコマンドを保存します。
• C. 結果からフィールドを削除します。
• D. 既存のフィールドを作成または置換します。

正解：D

解説：
The eval command is used to create new fields or modify existing fields based on an expression2. The eval command can perform various actions such as calculations, conversions, string manipulations and more2. One of the actions that the eval command can perform is to create or replace an existing field with a new value based on an expression2. For example, | eval status=if(status="200","OK","ERROR") will create or replace the status field with either OK or ERROR depending on the original value of status2. Therefore, option B is correct, while options A, C and D are incorrect because they are not actions that the eval command can perform.

質問 # 118
コロプレスマップの場合、splunkには次のKMZファイルが付属しています（該当するものをすべて選択してください）

• A. 米国およびカナダの州および県
• B. 欧州連合の国
• C. アメリカ合衆国の州
• D. 世界の国々

正解：C、D

質問 # 119
次の検索のうち、マクロの有効な使用法を示しているのはどれですか？ （該当するものをすべて選択）

• A. index = main source = mySource oldField = * |統計if（ 'makeMyField（oldField）'）| table _time newField
• B. index = main source = mySource oldField = * | eval newField = 'makeMyField（oldField）' | table _time newField
• C. index = main source = mySource oldField = * | "'newField（' makeMyField（oldField） '）'" | table _time newField
• D. index = main source = mySource oldField = * | 'makeMyField（oldField）' | table _time newField

正解：B、D

解説：
Reference:
To use a macro in a search, you must enclose the macro name and any arguments in single quotation marks1. For example, 'my_macro(arg1,arg2)' is a valid way to use a macro with two arguments. You can use macros anywhere in your search string where you would normally use a search command or expression1. Therefore, options A and C are valid searches that use macros, while options B and D are invalid because they do not enclose the macros in single quotation marks.

質問 # 120
ユーザーは、数値フィールド値を文字列に変換し、それらの値で並べ替えたいと考えています。
evalとsortのどちらのコマンドを最初に使用する必要がありますか？

• A. 最初にevalとsortのどちらを使用してもかまいません。
• B. 同じフィールドでsortコマンドとevalコマンドを使用することはできません。
• C. 最初に並べ替えを使用してから、数値をevalを使用して文字列に変換します。
• D. 最初にevalを使用して数値を文字列に変換してから、並べ替えます。

正解：C

解説：
The eval command is used to create new fields or modify existing fields based on an expression2. The sort command is used to sort the results by one or more fields in ascending or descending order2. If you want to convert numeric field values to strings and also sort on those values, you should use the sort command first, then use the eval command to convert the values to strings2. This way, the sort command will use the original numeric values for sorting, rather than the converted string values which may not sort correctly. Therefore, option C is correct, while options A, B and D are incorrect.

質問 # 121
次のステートメントのうち、Common Information Model（CIM）を説明しているのはどれですか？ （該当するものをすべて選択）

• A. CIMは、さまざまなソースからのデータを相互に関連付けることができます。
• B. CIMは、単一のSplunkデプロイメントで他のアプリと共存できるアプリです。
• C. ナレッジマネージャーはCIMを使用してナレッジオブジェクトを作成します。
• D. CIMは、データを正規化するための方法論です。

正解：A、C、D

解説：
Reference: https://docs.splunk.com/Documentation/CIM/4.15.0/User/Overview

質問 # 122
「アラート」タグを「ホスト」フィールドに制限する検索はどれですか？

• A. tag :: host = alert
• B. tag == alert
• C. host :: tag :: alert
• D. tag = alert

正解：A

質問 # 123
トランザクションはいつ使用する必要がありますか？

• A. 大規模な分散Splunk環境でのみ。
• B. イベントをグループ化すると、各グループに1000を超えるイベントが発生します。
• C. 1つ以上のフィールドから結果を計算する場合。
• D. イベントのグループ化が開始/終了値に基づいている場合。

正解：D

質問 # 124
検索で__________が返されると、結果をリストとして表示できます。

• A. トランザクション
• B. イベントのリスト
• C. 統計値

正解：C

質問 # 125
少なくとも1つのREJECTイベントを含むトランザクション内のすべての寄与イベントを識別するには、どの構文が正しいですか？

• A. インデックス=メイン|トランザクションセッションID |そのtransaction = reject
• B. インデックス-メイン|トランザクションセッションID |検索拒否
• C. インデックス=メイン|トランザクションセッションID |ここで、transaction = reject ''
• D. インデックス-メイン|トランスセッションIDを拒否します

正解：B

解説：
Explanation
The transaction command is used to group events that share a common value for one or more fields into transactions2. The transaction command assigns a transaction ID to each group of events and creates new fields such as duration, eventcount and eventlist for each transaction2. To identify all of the contributing events within a transaction that contains at least one REJECT event, you can use the following syntax: index=main | transaction sessionid | search REJECT2. This search will first group the events by sessionid, then filter out the transactions that do not contain REJECT in any of their events2. Therefore, option B is correct, while options A, C and D are incorrect because they do not follow the correct syntax for using the transaction command or the search command.

質問 # 126
次のうち、統計関数ではないものはどれですか。

• A. カウント
• B. 平均
• C. addtotals
• D. 合計

正解：C

質問 # 127
タグに関連付けられたイベントを検索するための正しい構文は何ですか?

• A. タグ:<フィールド>=<値>
• B. タグ=<値>
• C. タグ=<値>
• D. タグ:<フィールド>=<値>

正解：C

解説：
The correct syntax to find events associated with a tag in Splunk is tag=<value>1. So, the correct answer is D) tag=<value>. This syntax allows you to annotate specified fields in your search results with tags1.
In Splunk, tags are a type of knowledge object that you can use to add meaningful aliases to field values in your data1. For example, if you have a field called status_code in your data, you might have different status codes like 200, 404, 500, etc. You can create tags for these status codes like success for 200, not_found for 404, and server_error for 500. Then, you can use the tag command in your searches to find events associated with these tags1.
Here is an example of how you can use the tag command in a search:
index=main sourcetype=access_combined | tag status_code
In this search, the tag command annotates the status_code field in the search results with the corresponding tags. If you have tagged the status code 200 with success, the status code 404 with not_found, and the status code 500 with server_error, the search results will include these tags1.
You can also use the tag command with a specific tag value to find events associated with that tag. For example, the following search finds all events where the status code is tagged with success:
index=main sourcetype=access_combined | tag status_code | search tag::status_code=success In this search, the tag command annotates the status_code field with the corresponding tags, and the search command filters the results to include only events where the status_code field is tagged with success1.

質問 # 128
検索で____________が返された場合は、グラフとして表示できます。

• A. タイムスタンプ
• B. 統計
• C. イベント
• D. キーワード

正解：B

質問 # 129
evalコマンドの「if」関数には、次の3つの引数が（順番に）必要です。

• A. falseの場合の結果、trueの場合の結果、ブール式
• B. ブール式、falseの場合は結果、trueの場合は結果
• C. trueの場合の結果、falseの場合の結果、ブール式
• D. ブール式、trueの場合は結果、falseの場合は結果

正解：D

質問 # 130
evalコマンドtostring関数で使用できるのは次のうちどれですか（該当するものをすべて選択してください）

• A. ''コンマ ''
• B. '' 10進数 ''
• C. ''期間 ''
• D. '' hex ''

正解：A、C、D

解説：
https://docs.splunk.com/Documentation/Splunk/8.1.0/SearchReference/ConversionFunctions#tostring.28X.2CY.29

質問 # 131
次のナレッジオブジェクトのうち、eval式の出力を表すものはどれですか？

• A. 計算フィールド
• B. フィールド抽出
• C. 評価フィールド
• D. 計算されたルックアップ

正解：A

解説：
Reference:
The eval command is used to create new fields or modify existing fields based on an expression2. The output of an eval expression is a calculated field, which is a field that you create based on the value of another field or fields2. You can use calculated fields to enrich your data with additional information or to transform your data into a more useful format2. Therefore, option B is correct, while options A, C and D are incorrect because they are not names of knowledge objects that represent the output of an eval expression.

質問 # 132
次のステートメントのうち、POSTワークフローアクションを説明しているのはどれですか？

• A. POSTワークフローアクションはカスタムソースタイプでは作成できません。
• B. POSTワークフローアクションは、同じウィンドウまたは新しいウィンドウでWebページを開くことができます。
• C. POSTワークフローアクションは、URIでフィールド値を使用できません。
• D. POSTワークフローアクションは常に暗号化されます。

正解：B

解説：
A workflow action is a link that appears when you click an event field value in your search results1. A workflow action can open a web page or run another search based on the field value1. There are two types of workflow actions: GET and POST1. A GET workflow action appends the field value to the end of a URI and opens it in a web browser1. A POST workflow action sends the field value as part of an HTTP request to a web server1. You can configure a workflow action to open a web page in either the same window or a new window1. Therefore, option D is correct, while options A, B and C are incorrect.

質問 # 133
色の値が異なる複数のイベントタイプが同じイベントに割り当てられている場合、イベントに表示される色は何によって決まりますか？

• A. ランク
• B. 重量
• C. 優先順位
• D. 優先度

正解：D

解説：
Reference: https://docs.splunk.com/Documentation/SplunkCloud/8.0.2003/Knowledge/Defineeventtypes When multiple event types with different color values are assigned to the same event, the color displayed for the events is determined by the priority of the event types. The priority is a numerical value that indicates how important an event type is. The higher the priority, the more important the event type. The event type with the highest priority will determine the color of the event.

質問 # 134
イベント タイプが web_errors のイベントを取得する検索はどれですか?

• A. eventtype "web errors"
• B. eventtype=web_errors
• C. eventtype (web_errors)
• D. tag=web_errors

正解：B

解説：
Explanation
The correct answer is B. eventtype=web_errors.
An event type is a way to categorize events based on a search. An event type assigns a label to events that match a specific search criteria. Event types can be used to filter and group events, create alerts, or generate reports1.
To search for events that have a specific event type, you need to use the eventtype field with the name of the event type as the value. The syntax for this is:
eventtype=<event_type_name>
For example, if you want to search for events that have the event type web_errors, you can use the following syntax:
eventtype=web_errors
This will return only the events that match the search criteria defined by the web_errors event type.
The other options are not correct because they use different syntax or fields that are not related to event types.
These options are:
A: tag=web_errors: This option uses the tag field, which is a way to add descriptive keywords to events based on field values. Tags are different from event types, although they can be used together. Tags can be used to filter and group events by common characteristics2.
C: eventtype "web errors": This option uses quotation marks around the event type name, which is not valid syntax for the eventtype field. Quotation marks are used to enclose phrases or exact matches in a search3.
D: eventtype (web_errors): This option uses parentheses around the event type name, which is also not valid syntax for the eventtype field. Parentheses are used to group expressions or terms in a search3.
References:
About event types
About tags
Search command cheatsheet

質問 # 135
次のステートメントのうち、POSTワークフローアクションを説明しているのはどれですか？

• A. POSTワークフローアクションはカスタムソースタイプでは作成できません。
• B. POSTワークフローアクションは、同じウィンドウまたは新しいウィンドウでWebページを開くことができます。
• C. POSTワークフローアクションは、URIでフィールド値を使用できません。
• D. POSTワークフローアクションは常に暗号化されます。

正解：B

解説：
Explanation
A workflow action is a link that appears when you click an event field value in your search results1. A workflow action can open a web page or run another search based on the field value1. There are two types of workflow actions: GET and POST1. A GET workflow action appends the field value to the end of a URI and opens it in a web browser1. A POST workflow action sends the field value as part of an HTTP request to a web server1. You can configure a workflow action to open a web page in either the same window or a new window1. Therefore, option D is correct, while options A, B and C are incorrect.

質問 # 136
次のステートメントのうち、計算フィールドについて説明しているのはどれですか？ （該当するものをすべて選択）

• A. 計算フィールドは、ホストとソースタイプにのみ適用できます。
• B. 計算されたフィールドは、抽出されたフィールドに基づくことができます。
• C. 計算フィールドは、evalコマンドを使用して計算を実行するためのショートカットです。
• D. 計算フィールドは検索バーで使用できます。

正解：B、C、D

解説：
Reference: https://docs.splunk.com/Documentation/Splunk/8.0.3/Knowledge/definecalcfields Calculated fields are fields that are created by performing calculations on existing fields using the eval command. Calculated fields can be used in the search bar to filter and transform events based on the calculated values. Calculated fields can also be based on an extracted field, which is a field that is extracted from raw data using various methods, such as regex, delimiters, lookups, etc. Calculated fields are not shortcuts for performing calculations using the eval command, but rather results of performing calculations using the eval command. Calculated fields can be applied to any field in Splunk, not only host and sourcetype.
Therefore, statements A, B, and D are true about calculated fields.

質問 # 137
デフォルトでは、Splunk Common Information Model（CIM）アドオンでアクセラレーションはどのように構成されていますか？

• A. データソースに基づいて自動的に決定されます。
• B. オフ
• C. ソースタイプに基づいて自動的に決定されます。
• D. オン

正解：A

解説：
By default, acceleration is determined automatically based on the data source in the Splunk Common Information Model (CIM) add-on. The Splunk CIM Add-on is an app that provides common data models for various domains, such as network traffic, web activity, authentication, etc. The CIM Add-on allows you to normalize and enrich your data using predefined fields and tags. The CIM Add-on also allows you to accelerate your data models for faster searches and reports. Acceleration is a feature that pre-computes summary data for your data models and stores them in tsidx files. Acceleration can improve the performance and efficiency of your searches and reports that use data models.
By default, acceleration is determined automatically based on the data source in the CIM Add-on. This means that Splunk will decide whether to enable or disable acceleration for each data model based on some factors, such as data volume, data type, data model complexity, etc. However, you can also manually enable or disable acceleration for each data model by using the Settings menu or by editing the datamodels.conf file.

質問 # 138
......

SPLK-1002日本語別格な問題集で最上級の成績にさせるSPLK-1002日本語問題：https://www.goshiken.com/Splunk/SPLK-1002J-mondaishu.html