[2024-07-01更新,178問] 無料Splunk SPLK-1002試験問題集、SPLK-1002独学書籍(ページ 13)

SPLK-1002 試験問題 56

Splunk Common Information Model (CIM) アドオンを使用してデータを正規化する場合、どのようなアプローチが推奨されますか?

A. CIM データモデル参照テーブルを参照してください。

B. 認証コマンドを使用して検索を実行します。

C. CIM イベントタイプの参照テーブルを参照してください。

D. 相関コマンドを使用して検索を実行します。

SPLK-1002 試験問題 57

|を使用する場合ホスト別のタイムチャート。X 軸にはどのフィールドが表示されますか?

A. 日付

B. ホスト

C. 時間

D. _time

SPLK-1002 試験問題 58

productName フィールドと product:d フィールドに特定の値がある場合、どのフィールドを使用してフィールドを設定するか
イベント？
| eval productINFO=coalesco(製品名,製品ID)

A. 両方のフィールド値が使用され、製品情報フィールドは指定されたフィールドの複数値フィールドになります。
イベント。

B. 最初に表示されるため、productName フィールドの値。

C. どちらのフィールド値も使用されず、フィールドには指定されたイベントの NULL 値が割り当てられます。

D. 2 番目に表示されるフィールドの値。

正解: B

正解は B です。最初に表示されるため、productName フィールドの値です。
coalesce 関数は、任意の数の引数を受け取り、最初の引数を返す eval 関数です。
null ではない値。null 値はフィールドに値がまったくないことを意味し、空の値はフィールドに値がないことを意味します。
フィールドに値がありますが、それは "" または長さ 0 です 1。
coalesce 関数を使用すると、名前は異なるが同じデータを表すフィールドを結合できます。
IP アドレスやユーザー名など。Coalesce 関数を使用して、フィールドの名前を変更してわかりやすくすることもできます。
利便性２．
合体関数の構文は次のとおりです。
合体(<フィールド1>,<フィールド2>,...)
coalesce 関数は、引数リスト内の null ではない最初のフィールドの値を返します。すべてのフィールドが
null の場合、合体関数は null を返します。
たとえば、IP アドレスが clientip または ipaddress に抽出される一連のイベントがある場合、
coalesce 関数を使用して、clientip または ipaddress のいずれかの値を取る ip という新しいフィールドを定義できます。
どちらが null ではないかに応じて、次のようになります。
| eval ip=coalesce(クライアントチップ,ipaddress)
この例では、製品名が productName またはのいずれかに抽出される一連のイベントがあります。
productid を指定し、coalesce 関数を使用して、productINFO という新しいフィールドを定義します。このフィールドは、次の値を取ります。
productName または productid (どちらが null でないかに応じて):
| eval productINFO=coalesce(製品名,製品ID)
productName フィールドと productid フィールドの両方に特定のイベントの値がある場合、coalesce 関数は
productName フィールドの値。引数リストの最初に表示されるためです。productid フィールドは無視されます
合体機能により。
したがって、両方のフィールドが存在する場合、productName フィールドの値が productINFO フィールドの入力に使用されます。
特定のイベントの値を持ちます。
参考文献:
検索コマンド＞合体
SPLUNK 評価機能の使用法: Coalesce

SPLK-1002 試験問題 59

Filed Extractor (FX) の使用について説明しているのは次のどれですか?

A. フィールド抽出機能は、検索時にすべてのフィールドを自動的に抽出します。

B. フィールドエクストラクターは、PERL を使用して生のイベントからフィールドを抽出します。

C. Extracted を使用して抽出されたフィールドはナレッジオブジェクトとして保持されます。

D. フィールドエクストラクターを使用して抽出されたフィールドは永続的ではないため、検索ごとに定義する必要があります。

SPLK-1002 試験問題 60

ユーザーは、数値フィールドの値を文字列に変換し、それらの値に基づいて並べ替えたいと考えています。
evalor などのどのコマンドを最初に使用する必要がありますか?

A. 最初に並べ替えを使用し、次に eval を使用して数値を文字列に変換します。

B. eval と sort のどちらを先に使用するかは関係ありません。

C. 最初に eval を使用して数値を文字列に変換し、次に並べ替えます。

D. sort コマンドと eval コマンドを同じフィールドで使用することはできません。

他のバージョン: 1450Splunk.SPLK-1002.v2025-03-11.q256; 1615Splunk.SPLK-1002.v2023-11-02.q125; 1958Splunk.SPLK-1002.v2022-09-18.q105

最新アップロード: 103Oracle.1z0-1057-25.v2026-06-04.q45; 104Amazon.AWS-Certified-Developer-Associate.v2026-06-04.q323; 106Fortinet.FCSS_SDW_AR-7.4.v2026-06-04.q76; 131SAP.C_THR88_2505.v2026-06-03.q76; 137WGU.Web-Development-Applications.v2026-06-03.q73; 130Salesforce.Mule-Dev-301.v2026-06-02.q22; 181CISI.IFC.v2026-06-02.q111; 188Huawei.H13-611_V5.0.v2026-06-01.q113; 222Cisco.200-201.v2026-06-01.q230; 184Huawei.H35-211_V2.5.v2026-06-01.q109

SPLK-1002 試験問題 56

SPLK-1002 試験問題 57

SPLK-1002 試験問題 58

SPLK-1002 試験問題 59

SPLK-1002 試験問題 60

PDFファイルをダウンロード