正解は
A) フィールドエイリアス123。
Splunk では、フィールド エイリアスは、フィールドに別の名前を割り当てるために使用できるナレッジ オブジェクトです3。これは、Splunk Common Information Model (CIM)12 に準拠するようにデータを正規化する場合などに特に便利です。
CIM は、値を共通のフィールド名に正規化する方法を提供します1。これは、生のマシン データをそのまま残しながら、イベント データ内の関係を定義する検索時スキーマとして機能します2。フィールド エイリアスを使用すると、ベンダー フィールドを、特定のドメイン内の各データ ソースで同じである共通フィールドにマップできます4。これにより、さまざまなソース タイプのイベントを共通の構造と命名規則に正規化することで、イベントを関連付けることができます1。

Splunk Common Information Model (CIM)アドオンには、事前設定されたデータモデルのコレクションが含まれています。
検索時にデータに適用できるものです。CIMの各データモデルは、フィールド名と
関心領域の最小公分母を定義するタグ。CIMには現在、データモデルがある。
アラート、データベース、電子メールを含む22のカテゴリが定義されています。ユーザー権限は
CIMのカテゴリ。参考資料Splunk Common Information Modelの概要とSplunk
共通情報モデル - ご質問にお答えします。

参照：
同じイベントに異なる色の値を持つ複数のイベント タイプが割り当てられている場合、イベントに表示される色は、イベント タイプの優先度によって決まります。優先度は、イベント タイプの重要度を示す数値です。優先度が高いほど、イベント タイプの重要性が高くなります。優先度が最も高いイベント タイプによって、イベントの色が決まります。

参考:https://docs.splunk.com/Documentation/Splunk/8.0.3/Knowledge/definecalcfields
計算フィールドは、別のフィールドの値に基づいて作成されるフィールドです。
計算フィールドは、追加情報でデータを充実させたり、データをより有用なものに変換したりするために使用します。
計算フィールドは、生のフィールドから抽出されたフィールドに基づいて作成できます。
正規表現、区切り文字、キーと値のペアなどのさまざまな方法を使用してデータを処理します1。したがって、オプションBは
正解ですが、オプションA、C、Dはタグ、ルックアップの出力フィールド、生成されたフィールドが間違っているため、
検索文字列から抽出されたフィールドの種類ではありません。

以下の検索文字列は、Application_State という名前のデータ モデルからイベントを返します。
| データモデル Application_State All_Application_State 検索
検索文字列は次のことを行います。
Splunkのデータモデルにアクセスするには、datamodelコマンドを使用します。datamodelコマンドは2つの
引数: データ モデルの名前とデータ モデル内のデータセットの名前。
データモデルの名前をApplication_Stateとして指定します。これはSplunkで定義済みのデータモデルです。
Web アプリケーションに関する情報が含まれています。
データセットの名前をAll_Application_Stateとして指定します。これはデータモデルのルートデータセットであり、
すべての子データセットのすべてのイベントが含まれます。
検索コマンドを使用して、データセットからイベントをフィルタリングおよび変換します。検索コマンドは
結果を変更するには、任意の検索条件またはコマンドを使用します。
したがって、検索文字列は、Application_State という名前のデータ モデルからイベントを返します。