Abonnez-vous à DeepL Pro pour traduire des fichiers plus volumineux.

Visitez [Link]/pro pour en savoir plus.

Splunk Core Certified Power User

Détails de l'examen :

• Niveau : Débutant
• Code : SPLK-1002
• Prérequis : Aucun
• Durée : 60 minutes
• Format : 65 questions à choix multiples
• Prix : 130 USD par tentative d'examen
• Délivrance de l'examen : L'examen est administré par notre partenaire Pearson VUE.

Q1

Laquelle des affirmations suivantes concernant la commande de recherche est vraie ?

A. Il ne permet pas l'utilisation de caractères génériques.

B. Il traite les valeurs des champs en tenant compte des majuscules et des minuscules.

C. Il ne peut être utilisé qu'au début de la chaîne de recherche.

D. Il se comporte exactement comme les chaînes de recherche avant le premier tuyau.

REPONSE:D

Q2

Laquelle des actions suivantes la commande eval peut-elle effectuer ?

A. Supprimer des champs des résultats.

B. Créer ou remplacer un champ existant.

C. Regrouper les transactions en fonction d'un ou plusieurs champs.

D. Sauvegarder les commandes SPL pour les réutiliser dans d'autres recherches.
REPONSE:B

Q3

Quand un tuyau peut-il suivre une macro ?

A. Un tuyau peut toujours suivre une macro.

B. L'utilisateur actuel doit être propriétaire de la macro.

C. La macro doit être définie dans l'application en cours.

D. Uniquement lorsque le partage est défini comme global pour la macro.

REPONSE:A

Q4

Les modèles de données sont composés d'un ou de plusieurs des ensembles de données suivants ?
(Choisissez tous ceux qui s'appliquent.)

A. Ensembles de données sur les événements

B. Rechercher des ensembles de données

C. Ensembles de données de transaction

D. Tout enfant d'ensembles de données d'événements, de transactions et de recherches

REPONSE:ABC

Q5

Lors de l'utilisation de l'extracteur de champ (FX), lequel des délimiteurs suivants fonctionnera ?
(Choisissez tous ceux qui s'appliquent.)

A. Onglets

B. Tuyaux

C. Colons

D. Espaces

REPONSE:BD
Q6

Quel groupe d'utilisateurs est le plus susceptible d'utiliser les pivots ?

A. Utilisateurs

B. Architectes

C. Administrateurs

D. Gestionnaires de connaissances

REPONSE:D

Q7

Lorsque plusieurs types d'événements ayant des valeurs de couleur différentes sont affectés au
même événement, qu'est-ce qui détermine la couleur affichée pour l'événement ?

A. Rang

B. Poids

C. Priorité

D. Priorité

REPONSE:C
Q8

Sur la base de la définition de la macro présentée ci-dessous, quelle est la manière correcte
d'exécuter la macro dans une chaîne de recherche ?

A. "convert_sales(euro,79.,¬'‫")ג‬

B. convert_sales(euro,79.,¬'‫)ג‬

C. "convert_sales($euro$,$79$.$,$¬'‫")ג‬

D. 'convert_sales($euro$,$79$.$,$¬'‫')ג‬

ANSWER:B

Q9

Il y a plusieurs façons d'accéder à l'extracteur de champ.

Quelle option permet d'identifier automatiquement le type de données, le type de source et

l'événement d'échantillonnage ?

A. Actions sur les événements > Extraction de champs

B. Barre latérale Champs > Extraire de nouveaux champs

C. Paramètres > Extractions de champs > Nouvelle extraction de champs

D. Paramètres > Extractions de champs > Ouvrir l'extracteur de champs

REPONSE:A
Q10

Laquelle des affirmations suivantes aiderait un utilisateur à choisir entre les commandes transaction
et stats ?

Splunk Transaction Command : Qu'est-ce que c'est et comment l'utiliser - Kinney Group

A. Les statistiques ne peuvent regrouper des événements qu'à l'aide d'adresses IP.

B. La commande de transaction est plus rapide et plus efficace.

C. La commande de transaction est limitée à 1000 événements.

D. Utilisez les statistiques lorsque les événements doivent être considérés comme un seul événement
corrélé.

REPONSE:C

Q11

Par défaut, comment l'accélération est-elle configurée dans le module complémentaire Splunk
Common Information Model (CIM) ?

A. Éteint.

B. Allumé.

C. Déterminé automatiquement en fonction du type de source.

D. Déterminé automatiquement en fonction de la source de données.

REPONSE:A

Q12

Lesquels des énoncés suivants décrivent le modèle d'information commun (CIM) ? (Choisissez
toutes les réponses qui s'appliquent.)

A. Le CIM est une méthodologie de normalisation des données.

B. La CIM permet de mettre en corrélation des données provenant de différentes sources.

C. Le gestionnaire des connaissances utilise le CIM pour créer des objets de connaissance.

D. CIM est une application qui peut coexister avec d'autres applications sur un même déploiement
Splunk.

REPONSE:ABD
Q13

Lequel des objets de connaissance suivants représente la sortie d'une expression eval ?

A. Champs d'évaluation

B. Champs calculés

C. Extractions sur le terrain

D. Consultations calculées

REPONSE:B

Q14

Qu'est-ce que les événements d'une transaction ont en commun ?

A. Tous les événements d'une transaction doivent avoir le même horodatage.

B. Tous les événements d'une transaction doivent avoir le même type de source.

C. Tous les événements d'une transaction doivent avoir exactement le même ensemble de champs.

D. Tous les événements d'une transaction doivent être liés par un ou plusieurs champs.

REPONSE:D

Q15

Quels délimiteurs l'extracteur de champs (FX) peut-il détecter ? (Choisissez toutes les réponses qui
s'appliquent.)

A. Onglets

B. Tuyaux

C. Espaces

D. Virgules

REPONSE:BCD

Q16

Quels sont les trois types d'ensembles de données qui composent un modèle de données ?

A. Contrainte, champ, valeur.

B. Événements, recherches, transactions.

C. Extraction de champs, regex, délimités.

D. Transaction, identifiant de session, métadonnées.

REPONSE:B

Q17

Où sont stockés les résultats des commandes eval ?

A. Dans un champ.

B. Dans un index.

C. Dans un magasin KV.

D. Dans une base de données.

REPONSE:A

Q18

Lesquelles des affirmations suivantes décrivent les champs calculés ? (Choisissez toutes les réponses
qui s'appliquent.)

A. Les champs calculés peuvent être utilisés dans la barre de recherche.

B. Les champs calculés peuvent être basés sur un champ extrait.

C. Les champs calculés ne peuvent être appliqués qu'à l'hôte et au type de source.

D. Les champs calculés sont des raccourcis permettant d'effectuer des calculs à l'aide de la commande
eval.

REPONSE:ABD

Q19

Les champs calculés peuvent être basés sur les éléments suivants ?

A. Tags

B. Champs extraits

C. Champs de sortie d'une recherche

D. Champs générés à partir d'une chaîne de recherche

REPONSE:B
Q20

Quand faut-il recourir à la transaction ?

A. Uniquement dans un environnement Splunk distribué à grande échelle.

B. Lorsque l'on calcule des résultats à partir d'un ou plusieurs champs.

C. Lorsque le regroupement d'événements est basé sur des valeurs de début/fin.

D. Lorsque l'on regroupe les événements, on obtient plus de 1000 événements par groupe.

REPONSE:B

Q21

Lors de l'extraction d'un champ par expression régulière (regex) à l'aide de l'extracteur de champs
(FX), que se passe-t-il lorsque l'option require est utilisée ?

A. L'expression rationnelle ne peut plus être modifiée.

B. Le champ extrait sera obligatoire pour tous les événements futurs.

C. Les événements dont le champ n'est pas obligatoire ne s'afficheront pas dans les recherches.

D. Seuls les événements contenant la chaîne de caractères requise seront inclus dans l'extraction.

REPONSE:D

Q22

Lors de l'utilisation d'un diagramme temporel par hôte, quel champ est représenté sur l'axe des
abscisses ?

A. date

B. hôte

C. temps

D. heure

REPONSE:C

Q23

Laquelle des méthodes suivantes est la bonne pour utiliser la commande datamodel afin de
rechercher des champs dans le modèle de données Web au sein de l'ensemble de données Web ?

A. | modèle de données Web Recherche Web | champs Web*

B. | recherche dans le modèle de données Web Web | champs Web*

C. | champs du Web Web* | recherche Web*

D. datamodel=Web | search Web | fields Web*

REPONSE:A

Q24

Lesquelles des affirmations suivantes décrivent la commande ci-dessous ? (Choisissez toutes les
réponses qui s'appliquent.) sourcetype=access_combined | transaction JSESSIONID

A. Un champ supplémentaire nommé maxspan est créé.

B. Un champ supplémentaire nommé durée est créé.

C. Un champ supplémentaire nommé eventcount est créé.

D. Les événements ayant le même JSESSIONID seront regroupés en un seul

événement. REPONSE:BCD

Q25

Laquelle des recherches suivantes renverra les événements contenant une balise nommée Privileged ?

A. tag=Priv

B. tag=Priv*

C. tag=priv*

D. tag=privileged

REPONSE:B
Q26

Compte tenu de la définition de la macro ci-dessous, que faut-il saisir dans les champs Nom et
Arguments pour configurer correctement la macro ?

A. Le nom de la macro est sessiontracker et les arguments sont action, JESSIONID.

B. Le nom de la macro est sessiontracker(2) et les arguments sont action, JESSIONID.

C. Le nom de la macro est sessiontracker et les arguments sont $action$, $JESSIONID$.

D. Le nom de la macro est sessiontracker(2) et les arguments sont $action$, $JESSIONID$.

REPONSE:B

Q27

Que faut-il pour qu'une macro accepte trois arguments ?

A. Le nom de la macro se termine par (3).

B. Le nom de la macro commence par (3).

C. Le nombre d'arguments de la macro est égal ou supérieur à 3.

D. Rien, toutes les macros peuvent accepter n'importe quel nombre d'arguments.

REPONSE:A
Q28

Quelle méthode d'action de workflow peut être utilisée lorsque le type d'action est défini sur lien ?

A. GET

B. PUT

C. Recherche

D. METTRE

À JOUR LA

RÉPONSE :

Q29

Laquelle des affirmations suivantes concernant les étiquettes est vraie ? (Choisissez toutes les
réponses qui s'appliquent.)

A. Les étiquettes ne sont pas sensibles à la casse.

B. Les balises sont basées sur des paires champ/valeur.

C. Les étiquettes permettent de classer les événements en fonction d'une recherche.

D. Les étiquettes sont conçues pour rendre les données

plus compréhensibles. REPONSE:BD

Q30

Laquelle des affirmations suivantes concernant les macros est vraie ? (Choisissez toutes les réponses
qui s'appliquent.)

A. Les arguments sont définis au moment de l'exécution.

B. Les arguments sont définis lors de la création de la macro.

C. Les valeurs des arguments sont utilisées pour résoudre la chaîne de recherche au moment de
l'exécution.

D. Les valeurs des arguments sont utilisées pour résoudre la chaîne de recherche

lors de la création de la macro. REPONSE:AC

Q31

Les informations nécessaires à la création d'une action de flux de travail GET sont les suivantes ?
(Choisissez toutes les réponses qui s'appliquent.)

A. Un nom pour l'action du flux de travail.

B. URI vers lequel l'utilisateur sera dirigé au moment de la recherche.

C. Une étiquette qui apparaîtra dans le menu Action de l'événement au moment de la recherche.
D. Nom de l'URI vers lequel l'utilisateur sera dirigé au moment de la

recherche. REPONSE:ABC

Q32

Lequel des éléments suivants peut être utilisé avec la fonction tostring de la commande eval ?
(Choisissez toutes les réponses qui s'appliquent.)

A. "hexagone

B. "virgules"

C. "décimal"

D. "durée"

REPONSE:ABD

Q33

Laquelle des recherches suivantes montre une utilisation valide d'une macro ? (Choisissez toutes les
réponses qui s'appliquent.)

A. index=main source=mySource oldField=* |'makeMyField(oldField)'| table _time newField

B. index=main source=mySource oldField=* | stats if('makeMyField(oldField)') | table _time newField

C. index=main source=mySource oldField=* | eval newField='makeMyField(oldField)'| table

_time newField

D. index=main source=mySource oldField=* | "'newField('makeMyField(oldField)')'" | table

_time newField

REPONSE:AC

Q34

Un utilisateur souhaite convertir les valeurs d'un champ numérique en chaînes de caractères et les
trier.

Quelle commande doit être utilisée en premier, l'évaluation ou le tri ?

A. Peu importe que ce soit eval ou sort qui soit utilisé en premier.

B. Convertit les données numériques en chaînes de caractères en utilisant d'abord la fonction eval,
puis le tri.

C. Utilisez d'abord le tri, puis convertissez le numérique en chaîne de caractères avec eval.

D. Vous ne pouvez pas utiliser la commande de tri et la commande eval sur le même champ.

REPONSE:B
Q35/ Quel objet de connaissance le modèle d'information commun (CIM) de Splunk utilise-t-il
pour normaliser les données, en plus des alias de champs, des types d'événements et des balises
?

A. Macros

B. Recherches

C. Actions de flux de travail

D. Extractions sur le terrain

REPONSE:BD

Q36

Lesquelles des affirmations suivantes décrivent l'accélération du modèle de données ? (Choisissez

toutes les réponses qui s'appliquent.)

A. Les événements de base ne peuvent pas être accélérés.

B. Les modèles de données accélérés ne peuvent pas être modifiés.

C. Les modèles de données privées ne peuvent pas être accélérés.

D. Vous devez disposer de droits d'administration ou de la capacité accelerate_datamodel pour

accélérer un modèle de données.

REPONSE:BCD

Q37

Comment un utilisateur peut-il afficher un graphique en mode pile ?

A. En utilisant la commande stack.

B. En activant l'option Utiliser la disposition en treillis.

C. En changeant le mode d'empilement dans le menu Format.

D. Il n'est pas possible d'afficher un graphique en mode pile, mais uniquement un graphique temporel.

REPONSE:C

Q38

Si aucune valeur n'est spécifiée avec la commande fillnull, quelle est la valeur par défaut utilisée ?

A. 0

B. N/A

C. ‫ג‬€"

D. NULL

REPONSE:A
Q39

Quelle autre syntaxe produira exactement les mêmes résultats que le graphique "count over
vendor_action by user" ?

A. | graphique par action du vendeur, par utilisateur

B. | graphique sur l'action du vendeur, l'utilisateur

C. | graphique comptage par action du vendeur sur l'utilisateur

D. | graphique nombre d'utilisateurs par action_du_fournisseur

REPONSE:A

Q40

Quelles sont les deux parties d'un ensemble de données sur les événements racine ?

A. Champs et variables.

B. Champs et attributs.

C. Contraintes et champs.

D. Contraintes et consultations.

REPONSE:C

Q41

Lors de l'utilisation de Timechart, combien de champs peuvent être listés après une clause by ?

A. 0, car timechart ne permet pas l'utilisation d'une clause by.

B. 1, car _time est déjà implicitement l'axe des x.

C. 2, car un champ représenterait l'axe des x et l'autre l'axe des y.

D. Il n'y a pas de limite spécifique à timechart.

REPONSE:B

Q42

Un alias de champ a été créé sur la base d'un champ original. Une recherche sans commande de
transformation est ensuite exécutée en mode intelligent.

Quel nom de champ apparaît dans les résultats ?

A. Les deux apparaîtront dans la liste de tous les champs, mais seulement si l'alias est spécifié dans la
recherche.

B. Les deux apparaîtront dans la liste des champs intéressants, mais seulement s'ils
apparaissent dans au moins 20 % des événements.
C. Le champ original n'apparaît que dans la liste Tous les champs et l'alias n'apparaît que dans la
liste Champs intéressants.

D. L'alias n'apparaît que dans la liste Tous les champs et le champ original n'apparaît que dans la
liste Champs intéressants.

REPONSE:B

Q43

Laquelle des affirmations suivantes décrit les macros ?

A. Une macro est une chaîne de recherche réutilisable qui doit contenir la totalité de la recherche.

B. Une macro est une chaîne de recherche réutilisable qui doit avoir un intervalle de temps fixe.

C. Une macro est une chaîne de recherche réutilisable qui peut avoir une plage temporelle flexible.

D. Une macro est une chaîne de recherche réutilisable qui ne doit contenir qu'une partie de la
recherche.

REPONSE:C

Q44

Dans quel ordre les objets de connaissance/configurations suivants sont-ils appliqués ?

A. Alias de champs, extractions de champs, consultations

B. Extractions de champs, alias de champs, consultations

C. Extractions de champs, consultations, alias de champs

D. Consultations, alias de champs, extractions de champs

REPONSE:B

Q45

Dans lequel des scénarios suivants un type d'événement est-il plus efficace qu'une recherche
sauvegardée ?

A. Lorsqu'une recherche doit toujours porter sur la même période.

B. Lorsqu'une recherche doit être ajoutée aux tableaux de bord d'autres utilisateurs.

C. Lorsque la chaîne de recherche doit être utilisée dans des recherches ultérieures.

D. Lorsque le formatage doit être inclus dans la chaîne de recherche.

REPONSE:C
Q46

Lors de l'utilisation de la commande transaction, à quoi sert l'argument maxspan ?

A. Définit le temps total maximum entre les événements d'une transaction.

B. Définit la longueur maximale de tous les événements d'une transaction.

C. Définit le temps total maximum entre les événements les plus anciens et les plus récents d'une
transaction.

D. Définit la longueur maximale qu'un événement peut atteindre pour être inclus dans la transaction.

REPONSE:C

Q47

Lors de la création d'une action de workflow de recherche, quel champ est obligatoire ?

A. Chaîne de recherche

B. Nom du modèle de données

C. Paramètres de permission

D. Une instruction eval

REPONSE:A

Q48

Pour identifier tous les événements contributifs d'une transaction qui contiennent au moins un
événement REJECT, quelle est la syntaxe correcte ?

A. index=main REJECT | transaction sessionid

B. index=main | transaction sessionid | search REJECT

C. index=main | transaction sessionid | where transaction=reject

D. index=main | transaction sessionid | where transaction="REJECT*"

REPONSE:B

Q49

Après avoir modifié manuellement une expression régulière (regex), laquelle des affirmations
suivantes est vraie ?

A. Les modifications apportées manuellement peuvent être annulées dans l'interface utilisateur de
l'extracteur de champ (FX).

B. Il n'est plus possible de modifier l'extraction des champs dans l'interface utilisateur de l'extracteur de
champs (FX).

C. Il n'est pas possible de modifier manuellement une expression régulière (regex) créée à l'aide
de l'interface utilisateur de l'extracteur de champs (FX).
D. L'interface utilisateur de l'extracteur de champ (FX) conserve sa propre version de l'extraction de
champ en plus de celle qui a été éditée manuellement.

REPONSE:B

Q50

Laquelle des affirmations suivantes décrit les actions du flux de travail POST ?

A. La configuration d'une action de workflow POST comprend le choix d'un type de source.

B. Les actions de workflow POST peuvent être configurées pour envoyer un courrier électronique à
l'emplacement de l'URI.

C. Par défaut, les actions du flux de travail POST sont affichées à la fois dans le menu des événements
et dans celui des champs.

D. Les actions de workflow POST peuvent être configurées pour envoyer des arguments POST à
l'emplacement de l'URI.

REPONSE:D

Q51

Laquelle des affirmations suivantes est vraie, en particulier dans les grands environnements ?

A. Utilisez la commande stats lorsque vous devez regrouper des événements en fonction de deux
champs ou plus.

B. La commande stats est plus rapide et plus efficace que la commande transaction.

C. La commande transaction est plus rapide et plus efficace que la commande stats.

D. Utilisez la commande transaction lorsque vous souhaitez voir les résultats d'un calcul.

REPONSE:B

Q52

Que fait la recherche suivante ?

index=corndog tyBpe= mysterymeat action=eaten | stats count as corndog_count by user

A. Crée un tableau du nombre total d'utilisateurs et le divise par corndogs.

B. Crée un tableau du nombre total de corndogs Mysterymeat répartis par utilisateur.

C. Crée un tableau avec le nombre de tous les types de corndogs consommés, répartis par utilisateur.

D. Crée un tableau qui regroupe le nombre total d'utilisateurs par corndogs végétariens.

REPONSE:B
Q53

Laquelle des affirmations suivantes concernant les types d'événements est vraie ? (Choisissez toutes
les réponses qui s'appliquent.)

A. Les types d'événements peuvent être étiquetés.

B. Les types d'événements doivent inclure une période de temps.

C. Les types d'événements permettent de classer les événements en fonction d'une recherche.

D. Les types d'événements peuvent être une méthode utile pour capturer et partager les
connaissances.

REPONSE:AC

Q54

L'extracteur de champs (FX) est utilisé pour extraire un champ personnalisé. Un rapport peut être
créé à l'aide de ce champ personnalisé. Le rapport créé peut ensuite être partagé avec d'autres
personnes de l'organisation.

Si une autre personne de l'organisation exécute le rapport partagé et qu'aucun résultat n'est renvoyé,
quelle en est la raison ? (Choisissez toutes les réponses qui s'appliquent.)

A. Le mode rapide est activé.

B. Le tableau de bord est privé.

C. L'extraction est privée.

D. La personne de l'organisation qui exécute le rapport n'a pas accès à l'index.

REPONSE:CD

Q55

Parmi les affirmations suivantes, lesquelles décrivent la chaîne de recherche ci-dessous ?

| Recherche du modèle de données Application_State All_Application_State

A. Les événements seront renvoyés à partir de l'ensemble de données appelé Application_State.

B. Les événements seront renvoyés à partir du modèle de données appelé Application_State.

C. Les événements seront renvoyés à partir du modèle de données nommé All_Application_State.

D. Aucun événement ne sera renvoyé car le pipe doit se produire après la commande datamodel.

REPONSE:B
Q56

Quelle est la syntaxe correcte pour rechercher une balise associée à une valeur dans un champ
spécifique ?

A. tag=<champ>

B. tag=<champ>(<tagname>)

C. tag=<champ>::<tagname>

D. tag::<field>=<tagname>

REPONSE:D

Q57

Dans la plupart des grands environnements Splunk, quelle est la commande la plus efficace pour
regrouper les événements par champs ?

A. rejoindre

B. statistiques

C. streamstats

D. transaction

REPONSE:B

Q58

Quel flux de travail utilise les valeurs des champs pour effectuer une recherche secondaire ?

A. POST

B. Action

C. Recherche

D. Sous-recherche

REPONSE:C

Q59

Laquelle des affirmations suivantes décrit les alias de champ ?

A. Les noms des alias de champ remplacent le nom du champ d'origine.

B. Les alias de champs peuvent être utilisés dans les définitions des fichiers de consultation.

C. Les alias de champ ne font que normaliser les données entre les sources et les types de sources.

D. Les noms des alias de champs ne sont pas sensibles à la casse lorsqu'ils sont utilisés dans le cadre
d'une recherche.
REPONSE:B

Q60

Quelle est l'affirmation la plus vraie ?

A. Pivot est utilisé pour créer des ensembles de données.

B. Les modèles de données sont des ensembles de données structurés de manière aléatoire.

C. Pivot est utilisé pour créer des rapports et des tableaux de bord.

D. Dans la plupart des cas, chaque utilisateur de Splunk créera son propre modèle de données.

REPONSE:C

Q61

Laquelle des affirmations suivantes décrit l'utilisation de l'extracteur de champ (FX) ?

A. L'extracteur de champs extrait automatiquement tous les champs au moment de la recherche.

B. L'extracteur de champs utilise PERL pour extraire les champs des événements bruts.

C. Les champs extraits à l'aide de l'extracteur de champs sont conservés en tant qu'objets de
connaissance.

D. Les champs extraits à l'aide de l'extracteur de champs ne persistent pas et doivent être définis pour
chaque recherche.

REPONSE:C

Q62

Laquelle des recherches suivantes permet d'obtenir un rapport sur les ventes par nom de produit ?

A. graphique des ventes par nom_de_produit

B. Chart sum(price) as sales by product_name

C. stats sum(price) as sales over product_name

D. graphique chronologique liste(ventes), valeurs(nom_du_produit)

REPONSE:C

Q63

Parmi les modèles de données suivants, lesquels sont inclus dans le module complémentaire
Splunk Common Information Model (CIM) ? (Choisissez tous ceux qui s'appliquent.)

A. Alertes

B. Courriel
C. Bases de données

D. Autorisations de l'utilisateur

REPONSE:ABC

Q64

Quelle est la limite des recherches générées par les actions de workflow ?

A. Les recherches générées par des actions de workflow ne peuvent pas utiliser de macros.

B. Les recherches générées par les actions du flux de travail doivent comporter moins de 256
caractères.

C. Les recherches générées par les actions de workflow doivent être exécutées dans la même
application que l'action de workflow.

D. Les recherches générées par les actions de workflow sont exécutées avec les mêmes autorisations
que l'utilisateur qui les exécute.

REPONSE:D

Q65

Laquelle des recherches suivantes permettrait d'obtenir un graphique similaire à celui ci-dessous ?

A. index=_internal sourcetype=SavedSplunker | champs sourcetype, status | transaction

status maxspan=1d | stats count by status

B. index=_internal sourcetype=SavedSplunker | fields sourcetype, status | transaction

status maxspan=1d | chart count OVER status by _time

C. index=_internal sourcetype=SavedSplunker | champs sourcetype, status | transaction

status maxspan=1d | timechart count by status

D. Aucune de ces recherches ne produirait un graphique similaire.

REPONSE:D

Q66

Que fait la commande transaction ?

A. Regroupe un ensemble de transactions en fonction de l'heure.

B. Crée un événement unique à partir d'un groupe d'événements.

C. Sépare deux événements en fonction d'une ou plusieurs valeurs.

D. Renvoie le nombre de transactions par carte de crédit trouvées dans les journaux d'événements.

REPONSE:B

Q67

Quelle est la relation entre les modèles de données et les pivots ?

A. Les modèles de données fournissent les ensembles de données pour les pivots.

B. Les pivots et les modèles de données n'ont aucun rapport entre eux.

C. Les pivots et les modèles de données sont la même chose.

D. Les pivots fournissent les ensembles de données pour les modèles de données.

REPONSE:A

Q68

Laquelle des affirmations suivantes décrit les actions de workflow de recherche ?

A. Par défaut, les actions du flux de travail de recherche s'exécutent comme une recherche en temps
réel.

B. Les actions du flux de travail de recherche peuvent être configurées comme des recherches
programmées.

C. L'utilisateur peut définir la période de recherche lors de la création de l'action de workflow.

D. Les actions de workflow de recherche ne peuvent pas être configurées avec une chaîne de
recherche qui inclut la commande de transaction.

REPONSE:C

Q69

Lesquelles des commandes suivantes prennent en charge le même ensemble de fonctions ?

A. stats, eval, table

B. recherche, où, eval

C. statistiques, graphique, graphique temporel

D. transaction, graphique, graphique temporel

REPONSE:C
Q70

La commande eval vous permet de réaliser les opérations suivantes ? (Choisissez toutes les
réponses qui s'appliquent.)

A. Valeurs de format

B. Convertir les valeurs

C. Effectuer des calculs

D. Utiliser des instructions conditionnelles

REPONSE:ABCD

Q71

Lors de l'utilisation de la commande timechart, comment l'utilisateur peut-il regrouper les

événements en fonction de l'heure ?

A. Utilisation de l'argument de la portée.

B. Utilisation de l'argument de la durée.

C. En utilisant l'argument de l'intervalle.

D. Ajustement des options de format de champ.

REPONSE:A

Q72

Parmi les affirmations suivantes concernant les modèles de données et les tableaux croisés
dynamiques, lesquelles sont vraies ? (Choisissez toutes les réponses qui s'appliquent.)

A. Il s'agit dans les deux cas d'objets de connaissance.

B. Les modèles de données sont créés à partir d'ensembles de données appelés pivots.

C. Pivot demande aux utilisateurs de saisir des recherches SPL sur des modèles de données.

D. Pivot permet de créer des visualisations de données qui présentent différents aspects d'un modèle
de données.

REPONSE:D

Q73

Les champs du modèle de données peuvent être ajoutés à l'aide de la méthode d'extraction
automatique.

Lesquelles des affirmations suivantes décrivent les champs auto-extraits ? (Choisissez toutes les
réponses qui s'appliquent.)

A. Les champs extraits automatiquement peuvent être masqués dans le tableau croisé dynamique.
B. Les champs extraits automatiquement peuvent voir leur type de données modifié.
C. Les champs extraits automatiquement peuvent recevoir un nom convivial à utiliser dans Pivot.

D. Les champs auto-extraits peuvent être ajoutés s'ils existent déjà dans le jeu de données avec des
contraintes.

REPONSE:ABCD

Q74

Quel type de visualisation montre les relations entre des valeurs discrètes en trois dimensions ?

A. Diagramme circulaire

B. Graphique linéaire

C. Graphique à bulles

D. Diagramme de dispersion

REPONSE:D

Q75

Lequel des éléments suivants est une fonction du modèle d'information commun (CIM) de Splunk ?

A. Normaliser les données dans un déploiement Splunk.

B. Fournir des modèles de rapports et de tableaux de bord.

C. Déplacement algorithmique des événements vers d'autres index.

D. Réintégration de données précédemment indexées avec de nouveaux noms de champs.

REPONSE:A

Q76

Quelles informations doivent être incluses lors de l'utilisation de la commande datamodel ?

A. champ d'état

B. Index multiples

C. Nom du champ du modèle de données.

D. Nom du jeu de données du modèle de données.

REPONSE:C
Q77

Parmi les actions de workflow suivantes, lesquelles peuvent être exécutées à partir des résultats
d'une recherche ? (Choisissez toutes les réponses qui s'appliquent.)

A. GET

B. POST

C. RECHERCHE

D. Recherche

REPONSE:ABD

Q78

Laquelle des fonctions suivantes de la commande eval est valide ?

A. int()

B. compter()

C. print()

D. tostring()

REPONSE:D

Q79

Un champ calculé peut être basé sur lequel des éléments suivants ?

A. Tableaux de consultation

B. Champs extraits

C. Expressions régulières

D. Champs générés dans une chaîne de recherche

REPONSE:B

Q80

Quels sont les trois types d'ensembles de données qui peuvent constituer un modèle de données ?

A. Pivot, recherches et événements.

B. Pivot, événements et transactions.

C. Recherches, transactions et pivot.

D. Événements, recherches et transactions.

REPONSE:D

Q81

Quand une action de workflow GET est-elle nécessaire ?

A. Pour envoyer les valeurs des champs à une ressource externe.

B. Pour récupérer des informations à partir d'une ressource externe.

C. Pour utiliser les valeurs des champs pour effectuer une recherche secondaire.

D. Pour définir la manière dont les événements circulent entre les transitaires et les index.

REPONSE:B

Q82

Lesquelles des affirmations suivantes décrivent les actions du flux de travail GET ?

A. Les actions de workflow GET doivent être configurées avec des arguments POST.

B. La configuration des actions du flux de travail GET comprend le choix d'un type de source.

C. Les noms d'étiquettes pour les actions de workflow GET doivent inclure un nom de champ entouré
de signes de dollar.

D. Les actions de workflow GET peuvent être configurées pour ouvrir le lien URI dans la fenêtre
actuelle ou dans une nouvelle fenêtre.

REPONSE:D

Q83

Quelles sont les méthodes valables pour créer un type d'événement ? (Choisissez toutes les
réponses qui s'appliquent.)

A. En utilisant la commande searchtypes dans la barre de recherche.

B. En modifiant la strophe event_type dans le fichier [Link].

C. En allant dans le menu Paramètres et en cliquant sur Types d'événements > Nouveau.

D. En sélectionnant un événement dans les résultats de la recherche et en cliquant sur Actions

d'événement > Construire un type d'événement.

REPONSE:C
Q84

Quelle commande peut inclure à la fois une clause "over" et une clause "by" pour diviser les
résultats en sous-groupes ?

A. tableau

B. statistiques

C. xyseries

D. transaction

REPONSE:A

Q85

Quand devez-vous utiliser la commande transaction au lieu de la commande stats ?

A. Lorsque vous devez effectuer des regroupements sur plusieurs valeurs.

B. Lorsque la durée n'est pas pertinente dans les résultats de recherche.

C. Lorsque vous avez plus de 1000 événements dans une transaction.

D. Lorsque vous devez effectuer des regroupements en fonction de contraintes de début et de fin.

REPONSE:D

Q86

Laquelle des affirmations suivantes décrit les actions du flux de travail POST ?

A. Les actions POST du flux de travail sont toujours cryptées.

B. Les actions de workflow POST ne peuvent pas utiliser de valeurs de champ dans leur URI.

C. Les actions de workflow POST ne peuvent pas être créées sur des types de sources personnalisés.

D. Les actions POST peuvent ouvrir une page web dans la même fenêtre ou dans une nouvelle fenêtre.

REPONSE:D

Q87

Que comprend le module complémentaire Splunk Common Information Model (CIM) ? (Choisissez
toutes les réponses qui s'appliquent.)

A. Visualisations personnalisées

B. Modèles de données préconfigurés

C. Champs et catégories d'événements

D. Accélération automatique du modèle de données

REPONSE:BC
Q88

Laquelle des affirmations suivantes concernant les étiquettes est vraie ?

A. Les balises sont insensibles à la casse.

B. Les étiquettes sont créées au moment de l'indexation.

C. Les étiquettes peuvent rendre vos données plus compréhensibles.

D. Les balises sont recherchées en utilisant la syntaxe suivante::<nom du champ>.

REPONSE:C

Q89

Parmi les formats de fichiers suivants, lequel peut être extrait à l'aide d'un champ délimiteur ?

A. CSV

B. PDF (EN ANGLAIS)

C. XML

D. JSON

REPONSE:A

Q90

Un utilisateur souhaite créer un nouvel alias de champ pour un champ qui apparaît dans deux types
de sources.

Combien d'alias de champs doivent être créés ?

A. Un.

B. Deux.

C. Cela dépend si les champs d'origine ont le même nom.

D. Cela dépend si les deux types de sources sont associés au même index.

REPONSE:B

Q91

Dans l'instruction eval suivante, quelle est la valeur de description si le statut est 503 ?
index=main | eval description=case(status==200, "OK", status==404, "Not found", status==500,
"Internal Server
Erreur")

A. Le champ de description ne contient aucune valeur.

B. Le champ description contiendrait la valeur 0.

C. Le champ description contiendrait la valeur "Internal Server Error".

D. Cette déclaration produirait une erreur dans Splunk car elle est incomplète.

REPONSE:A

Q92

Dans quelle section des paramètres les macros sont-elles définies ?

A. Domaines

B. Jetons

C. Recherche avancée

D. Recherches, rapports, alertes

REPONSE:C

Q93

Laquelle des affirmations suivantes décrit les champs calculés ?

A. Les champs calculés ne sont utilisés que pour les champs ajoutés par des références externes.

B. Les champs calculés sont un raccourci pour les commandes d'évaluation complexes et répétitives.

C. Les champs calculés sont un raccourci pour les commandes de calcul complexes et répétitives.

D. Les champs calculés calculent automatiquement la moyenne mobile simple pour les champs
indexés.

REPONSE:B

Q94

Lesquels des éléments suivants sont nécessaires pour créer une action de workflow POST ?

A. Label, URI, chaîne de recherche.

B. Attributs XML, URI, nom.

C. Label, URI, post arguments.

D. URI, chaîne de recherche, sélecteur d'intervalle de temps.

REPONSE:C

Q95

Lequel des modèles de données suivants est l'un des modèles de données préconfigurés inclus dans
le module complémentaire Splunk Common Information Model (CIM) ?
A. Accès

B. Comptabilité

C. Autorisation

D. Authentification

REPONSE:D

Q96

Lesquelles des affirmations suivantes décrivent la recherche ci-dessous ? (Choisissez toutes les
réponses qui s'appliquent.) index=main | transaction clientip host maxspan=30s maxpause=5s

A. Les événements de la transaction se sont produits dans les 5 secondes.

B. Il regroupe les événements qui partagent le même client et le même hôte.

C. Le premier et le dernier événement ne sont pas séparés de plus de 5 secondes.

D. Le premier et le dernier événement ne sont pas séparés de plus de 30 secondes.

REPONSE:ABD

Q97

Considérons la recherche suivante :

index=web sourcetype=access_combined

Le journal montre plusieurs événements qui partagent la même valeur JSESSIONID

(SD421K26502F783). Affichez les événements en tant que groupe.

Dans la liste suivante, quelle recherche regroupe les événements par JSESSIONID ?

A. index-web sourcetype=access_combined | transaction JSESSIONID | search SD42IK26502F783

B. index-web sourcetype=access_combined | highlight JSESSIONID | search SD421K26502F783

C. index=web sourcetype=access_combined SD42IK26502F783 | table JSESSIONID

D. index=web sourcetype=access_combined JSESSIONID <SD421K26502F783>

REPONSE:A
Q98

Lors de la définition d'une macro, quels sont les éléments requis ?

A. et un message d'erreur de validation.

B. Définition et arguments.

C. Nom et arguments.

D. Nom et définition.

REPONSE:D

Q99

Où sont documentées les descriptions des modèles de données fournis avec le module
complémentaire Splunk Common Information Model (CIM) ?

A. Manuel de l'utilisateur Pivot.

B. Manuel de l'utilisateur pour la recherche et les rapports.

C. Manuel CIM Add-on.

D. Guide de référence des commandes du modèle de données.

REPONSE:C

Q100

Quelle est la syntaxe correcte pour trouver les événements associés à une balise ?

A. tag:<field>=<value>

B. tags=<valeur>

C. tags:<field>=<value>

D. tag=<valeur>

REPONSE:D

Q101

Lequel des énoncés suivants est vrai à propos du modèle d'information commun (CIM) de Splunk ?

A. Le CIM contient 28 ensembles de données préconfigurés.

B. Les modèles de données inclus dans le CIM sont configurés avec l'accélération des modèles de
données activée.

C. Les modèles de données inclus dans le CIM sont configurés avec l'accélération du modèle de
données désactivée.
D. Le CIM est une application qui doit fonctionner sur l'indexeur....

REPONSE:AC

Q102

Prenons l'exemple de la recherche suivante, effectuée sur les sept derniers jours :

index=web sourcetype=access_combined | timechart avg(bytes) by product_name

Quelle option permet de modifier l'intervalle de temps par défaut afin que les résultats soient
regroupés par intervalles de 12 heures ?

A. délai=12
B. span=12h
C. durée=12h
D. span=12
ANSWER:B

Q103
Dans quelles circonstances une transaction peut-elle être utilisée à la place des statistiques ?

A. Pour avoir une recherche plus rapide et

plus efficace B . Pour voir les résultats d'un
calcul.
C. Pour regrouper les événements en fonction des valeurs de début et de fin.
D. Pour regrouper des événements en fonction de la valeur d'un seul champ

REPONSE:C

Q104
Etant donné l'instruction eval suivante :

... | eval field1 =if(isnotnull(field1),field1,0)field2 = if(isnull

Lequel des éléments suivants est l'équivalent de l'utilisation de
fillnull ?
 A. Il n'existe pas d'expression équivalente utilisant fillnull
B. ... | fillnull values= 0, "NO-VALUE") fields = (field1,field2)
C. ... | fillnull field1|' fillnull value= 'NO-VALUE ' field2
D. ... | fillnull value=0 filed1 | fillnull field2
E.
REPONSE:B

Q105

Le modèle d'information commun (CIM) de Splunk est une collection de quel type d'objet
de connaissance ?
A. Recherches sauvegardées
B. Recherches
C. Magasin KV
D. Modèles de

données

ANSWER:D