リリースSplunk SPLK-1002日本語更新された問題PDF [Q131-Q153]

リリースSplunk SPLK-1002日本語更新された問題PDF

SPLK-1002日本語問題集と練習テスト（224試験問題)

質問 # 131
次の検索は何をしますか？

• A. 食べたすべての種類のアメリカンドッグの数をユーザーごとに分けて表を作成します。
• B. ユーザーの総数とアメリカンドッグごとの分割のテーブルを作成します。
• C. ユーザーごとに分割されたミステリーアメリカンドッグの総数のテーブルを作成します。
• D. 菜食主義のアメリカンドッグごとにユーザーの総数をグループ化するテーブルを作成します。

正解：C

解説：
The search string below creates a table of the total count of mysterymeat corndogs split by user.
| stats count by user | where corndog=mysterymeat
The search string does the following:
It uses the stats command to calculate the count of events for each value of the user field. The stats command creates a table with two columns: user and count.
It uses the where command to filter the results by the value of the corndog field. The where command only keeps the rows where corndog equals mysterymeat.
Therefore, the search string creates a table of the total count of mysterymeat corndogs split by user.

質問 # 132
次の検索モードのうち、フィールド サイドバーに抽出されたすべてのフィールドが自動的に返されるのはどれですか?

• A. 速い
• B. スマート
• C. 詳細

正解：C

解説：
The search modes determine how Splunk processes your search and displays your results2. There are three search modes: Fast, Smart and Verbose2. The search mode that automatically returns all extracted fields in the fields sidebar is Verbose2. The Verbose mode shows all the fields that are extracted from your events, including default fields, indexed fields and search-time extracted fields2. The fields sidebar is a panel that shows the fields that are present in your search results2. Therefore, option C is correct, while options A and B are incorrect because they are not search modes that automatically return all extracted fields in the fields sidebar.

質問 # 133
ユーザーは、数値フィールド値を文字列に変換し、それらの値で並べ替えたいと考えています。
evalとsortのどちらのコマンドを最初に使用する必要がありますか？

• A. 最初にevalとsortのどちらを使用してもかまいません。
• B. 最初に並べ替えを使用してから、数値をevalを使用して文字列に変換します。
• C. 最初にevalを使用して数値を文字列に変換してから、並べ替えます。
• D. 同じフィールドでsortコマンドとevalコマンドを使用することはできません。

正解：B

解説：
The eval command is used to create new fields or modify existing fields based on an expression2. The sort command is used to sort the results by one or more fields in ascending or descending order2. If you want to convert numeric field values to strings and also sort on those values, you should use the sort command first, then use the eval command to convert the values to strings2. This way, the sort command will use the original numeric values for sorting, rather than the converted string values which may not sort correctly. Therefore, option C is correct, while options A, B and D are incorrect.

質問 # 134
フィールドエクストラクタ（FX）は、カスタムフィールドを抽出するために使用されます。このカスタムフィールドを使用してレポートを作成できます。作成されたレポートは、組織内の他の人と共有できます。組織内の別の人が共有レポートを実行しても結果が返されない場合、これはなぜでしょうか。 （該当するものをすべて選択）

• A. レポートを実行している組織内の人はインデックスにアクセスできません。
• B. 高速モードが有効になっています。
• C. ダッシュボードはプライベートです。
• D. 抽出はプライベートです-

正解：A、D

解説：
Explanation
The Field Extractor (FX) is a tool that helps you extract fields from your events using a graphical interface2. You can create a report using a custom field extracted by the FX and share it with other users in your organization2. However, if another user runs the shared report and no results are returned, there could be two possible reasons. One reason is that the extraction is private, which means that only you can see and use the extracted field2. To make the extraction available to other users, you need to make it global or app-level2.
Therefore, option C is correct. Another reason is that the other user does not have access to the index where the events are stored2. To fix this issue, you need to grant the appropriate permissions to the other user for the index2. Therefore, option D is correct. Options A and B are incorrect because they are not related to the field extraction or the report.

質問 # 135
マクロが3つの引数を受け入れるには何が必要ですか？

• A. マクロの名前は（3）で終わります。
• B. マクロの引数カウント設定が3以上です。
• C. 何もありません。すべてのマクロは、任意の数の引数を受け入れることができます。
• D. マクロの名前は（3）で始まります。

正解：A

解説：
To create a macro that accepts arguments, you must include the number of arguments in parentheses at the end of the macro name1. For example, my_macro(3) is a macro that accepts three arguments. The number of arguments in the macro name must match the number of arguments in the definition1. Therefore, option A is correct, while options B, C and D are incorrect.

質問 # 136
自動ルックアップを機能させるには、ルックアップファイルにこれが必要です。

• A. 少なくとも5列
• B. 入力が提出されました
• C. タイムスタンプ
• D. ソースタイプ

正解：B

質問 # 137
フィールド抽出ユーティリティでは、このボタンは抽出されたフィールドを含まないイベントを表示します。
あなたの答えを選択してください。

• A. 不一致
• B. 選択済み-フィールド
• C. 一致
• D. 非抽出

正解：A

解説：
Explanation
The Field Extractor Utility (FX) is a tool that helps you extract fields from your events using a graphical interface or by manually editing the regular expression2. The FX has a button that displays events that do not contain extracted fields, which is the Non-Matches button2. The Non-Matches button shows you the events that do not match the regular expression that you have defined for your field extraction2. This way, you can check if your field extraction is accurate and complete2. Therefore, option B is correct, while options A, C and D are incorrect because they are not buttons that display events that do not contain extracted fields.

質問 # 138
ワークフローアクションによって生成される検索の制限は何ですか？

• A. ワークフローアクションによって生成される検索は、256文字未満である必要があります。
• B. ワークフローアクションによって生成された検索は、ワークフローアクションと同じアプリで実行する必要があります。
• C. ワークフローアクションによって生成された検索はマクロを使用できません。
• D. ワークフローアクションによって生成された検索は、それらを実行しているユーザーと同じ権限で実行されます。

正解：D

質問 # 139
検索を完了してください。_____ 失敗＞成功

• A. どこ
• B. の場合
• C. 検索

正解：A

解説：
Any of the above
Explanation:
The where command can be used to complete the search below.
... | where failure>successes
The where command is a search command that allows you to filter events based on complex or custom criteri a. The where command can use any boolean expression or function to evaluate each event and determine whether to keep it or discard it. The where command can also compare fields or perform calculations on fields using operators such as >, <, =, +, -, etc. The where command can be used after any transforming command that creates a table or a chart.
The search string below does the following:
It uses ... to represent any search criteria or commands before the where command.
It uses the where command to filter events based on a comparison between two fields: failure and successes.
It uses the greater than operator (>) to compare the values of failure and successes fields for each event.
It only keeps events where failure is greater than successes.

質問 # 140
特に大規模な環境では、次の説明のうち正しいものはどれですか。

• A. transactionコマンドは、statsコマンドよりも高速で効率的です。
• B. statsコマンドは、transactionコマンドよりも高速で効率的です
• C. 計算結果を確認したい場合は、transactionコマンドを使用してください。
• D. 2つ以上のフィールドでイベントをグループ化する場合は、scatsコマンドを使用します。

正解：B

質問 # 141
少なくとも1つのREJECTイベントを含むトランザクション内のすべての寄与イベントを識別するには、どの構文が正しいですか？

• A. インデックス=メイン|トランザクションセッションID |そのtransaction = reject
• B. インデックス-メイン|トランスセッションIDを拒否します
• C. インデックス-メイン|トランザクションセッションID |検索拒否
• D. インデックス=メイン|トランザクションセッションID |ここで、transaction = reject ''

正解：C

解説：
Explanation
The transaction command is used to group events that share a common value for one or more fields into transactions2. The transaction command assigns a transaction ID to each group of events and creates new fields such as duration, eventcount and eventlist for each transaction2. To identify all of the contributing events within a transaction that contains at least one REJECT event, you can use the following syntax: index=main | transaction sessionid | search REJECT2. This search will first group the events by sessionid, then filter out the transactions that do not contain REJECT in any of their events2. Therefore, option B is correct, while options A, C and D are incorrect because they do not follow the correct syntax for using the transaction command or the search command.

質問 # 142
計算フィールドは、次のコマンドのどれを使用して、繰り返し、長い、または複雑な変換を実行するためのショートカットです。

• A. ルックアップ
• B. 統計
• C. 評価
• D. トランザクション

正解：C

解説：
Explanation
The correct answer is D. eval.
A calculated field is a field that is added to events at search time by using an eval expression. A calculated field can use the values of two or more fields that are already present in the events to perform calculations. A calculated field can be defined with Splunk Web or in the props.conf file. They can be used in searches, reports, dashboards, and data models like any other extracted field1.
A calculated field is a shortcut for performing repetitive, long, or complex transformations using the eval command. The eval command is used to create or modify fields by using expressions. The eval command can perform mathematical, string, date and time, comparison, logical, and other operations on fields or values2.
For example, if you want to create a new field named total that is the sum of two fields named price and tax, you can use the eval command as follows:
| eval total=price+tax
However, if you want to use this new field in multiple searches, reports, or dashboards, you can create a calculated field instead of writing the eval command every time. To create a calculated field with Splunk Web, you need to go to Settings > Fields > Calculated Fields and enter the name of the new field (total), the name of the sourcetype (sales), and the eval expression (price+tax). This will create a calculated field named total that will be added to all events with the sourcetype sales at search time. You can then use the total field like any other extracted field without writing the eval expression1.
The other options are not correct because they are not related to calculated fields. These options are:
A: transaction: This command is used to group events that share some common values into a single record, called a transaction. A transaction can span multiple events and multiple sources, and can be useful for correlating events that are related but not contiguous3.
B: lookup: This command is used to enrich events with additional fields from an external source, such as a CSV file or a database. A lookup can add fields to events based on the values of existing fields, such as host, source, sourcetype, or any other extracted field.
C: stats: This command is used to calculate summary statistics on the fields in the search results, such as count, sum, average, etc. It can be used to group and aggregate data by one or more fields.
References:
About calculated fields
eval command overview
transaction command overview
[lookup command overview]
[stats command overview]

質問 # 143
次のステートメントのうち、ユーザーがトランザクションコマンドと統計コマンドのどちらかを選択するのに役立つのはどれですか？

• A. 状態は、IPアドレスを使用するイベントのみをグループ化できます。
• B. トランザクションコマンドはより高速で効率的です。
• C. イベントを単一のイベントとして表示する必要がある場合はstateを使用します。
• D. transactionコマンドには1000イベントの制限があります。

正解：D

解説：
Reference: https://docs.splunk.com/Documentation/Splunk/8.0.3/SearchReference/Transaction One of the statements that would help a user choose between the transaction and stats commands is that there is a 1000 event limitation with the transaction command3. The transaction command is used to group events that share a common value for one or more fields into transactions3. The transaction command has a default limit of 1000 events per transaction, which means that it will not group more than 1000 events into a single transaction3. This limit can be changed by using the maxevents parameter, but it can affect the performance and memory usage of Splunk3. Therefore, option C is correct, while options A, B and D are incorrect because they are not statements that would help a user choose between the transaction and stats commands.

質問 # 144
|とまったく同じ結果を生成する他の構文ユーザーによるvendor_actionに対するチャートカウント？

• A. |チャートカウントオーバーvendor_action、user
• B. |ユーザーに対するvendor_actionによるチャートカウント
• C. | vendor_actionによるユーザーのチャートカウント
• D. | vendor_action、userによるチャートカウント

正解：D

解説：
https://docs.splunk.com/Documentation/Splunk/8.1.2/SearchReference/Chart

質問 # 145
次のステートメントのうち、計算フィールドについて説明しているのはどれですか？ （該当するものをすべて選択）

• A. 計算されたフィールドは、抽出されたフィールドに基づくことができます。
• B. 計算フィールドは、ホストとソースタイプにのみ適用できます。
• C. 計算フィールドは検索バーで使用できます。
• D. 計算フィールドは、evalコマンドを使用して計算を実行するためのショートカットです。

正解：A、C、D

解説：
Reference:
Calculated fields are fields that are created by performing calculations on existing fields using the eval command. Calculated fields can be used in the search bar to filter and transform events based on the calculated values. Calculated fields can also be based on an extracted field, which is a field that is extracted from raw data using various methods, such as regex, delimiters, lookups, etc. Calculated fields are not shortcuts for performing calculations using the eval command, but rather results of performing calculations using the eval command. Calculated fields can be applied to any field in Splunk, not only host and sourcetype.
Therefore, statements A, B, and D are true about calculated fields.

質問 # 146
データモデルフィールドは、自動抽出メソッドを使用して追加できます。次のステートメントのうち、自動抽出フィールドについて説明しているのはどれですか？ （該当するものをすべて選択）

• A. 自動抽出されたフィールドのデータ型を変更できます。
• B. 自動抽出フィールドは、制約付きのデータセットにすでに存在する場合に追加できます。
• C. 自動抽出されたフィールドには、ピボットで使用するためのわかりやすい名前を付けることができます。
• D. 自動抽出されたフィールドはピボットで非表示にできます。

正解：A、B、C、D

解説：
Explanation
Data model fields are fields that describe the attributes of a dataset in a data model2. Data model fields can be added using various methods such as Auto-Extracted, Evaluated or Lookup2. Auto-Extracted fields are fields that are automatically extracted from your raw data using various techniques such as regular expressions, delimiters or key-value pairs2. Auto-Extracted fields can be hidden in Pivot, which means that you can choose whether to display them or not in the Pivot interface2. Therefore, option A is correct. Auto-Extracted fields can have their data type changed, which means that you can specify whether they are strings, numbers, booleans or timestamps2. Therefore, option B is correct. Auto-Extracted fields can be given a friendly name for use in Pivot, which means that you can assign an alternative name to them that is more descriptive or user-friendly than the original field name2. Therefore, option C is correct. Auto-Extracted fields can be added if they already exist in the dataset with constraints, which means that you can include them in your data model even if they are already extracted from your raw data by applying filters or constraints to limit the scope of your dataset2. Therefore, option D is correct.

質問 # 147
次の変換コマンドのうち、トランザクションで使用できるものはどれですか?

• A. チャート、タイムハート、データモデル、ピボット
• B. チャート、タイムチャート、統計、イベント統計
• C. チャート、タイムチャート、統計、差分
• D. チャート、タイムチャット、統計、ピボット

正解：B

解説：
Explanation
The correct answer is A. chart, timechart, stats, eventstats.
Transforming commands are commands that change the format of the search results into a table or a chart.
They can be used to perform statistical calculations, create visualizations, or manipulate data in various ways1.
Transactions are groups of events that share some common values and are related in some way. Transactions can be defined by using the transaction command or by creating a transaction type in the transactiontypes.conf file2.
Some transforming commands can be used with transactions to create tables or charts based on the transaction fields. These commands include:
chart: This command creates a table or a chart that shows the relationship between two or more fields. It can be used to aggregate values, count occurrences, or calculate statistics3.
timechart: This command creates a table or a chart that shows how a field changes over time. It can be used to plot trends, patterns, or outliers4.
stats: This command calculates summary statistics on the fields in the search results, such as count, sum, average, etc. It can be used to group and aggregate data by one or more fields5.
eventstats: This command calculates summary statistics on the fields in the search results, similar to stats, but it also adds the results to each event as new fields. It can be used to compare events with the overall statistics.
These commands can be applied to transactions by using the transaction fields as arguments. For example, if you have a transaction type named "login" that groups events based on the user field and has fields such as duration and eventcount, you can use the following commands with transactions:
| chart count by user : This command creates a table or a chart that shows how many transactions each user has.
| timechart span=1h avg(duration) by user : This command creates a table or a chart that shows the average duration of transactions for each user per hour.
| stats sum(eventcount) as total_events by user : This command creates a table that shows the total number of events for each user across all transactions.
| eventstats avg(duration) as avg_duration : This command adds a new field named avg_duration to each transaction that shows the average duration of all transactions.
The other options are not valid because they include commands that are not transforming commands or cannot be used with transactions. These commands are:
diff: This command compares two search results and shows the differences between them. It is not a transforming command and it does not work with transactions.
datamodel: This command retrieves data from a data model, which is a way to organize and categorize data in Splunk. It is not a transforming command and it does not work with transactions.
pivot: This command creates a pivot report, which is a way to analyze data from a data model using a graphical interface. It is not a transforming command and it does not work with transactions.
References:
About transforming commands
About transactions
chart command overview
timechart command overview
stats command overview
[eventstats command overview]
[diff command overview]
[datamodel command overview]
[pivot command overview]

質問 # 148
次のevalコマンド関数のどれが有効ですか？

• A. 印刷（）
• B. Int（）
• C. Tostring（）
• D. カウント（）

正解：C

質問 # 149
次の検索のうち、Privilegedという名前のタグを含むイベントを返すのはどれですか？

• A. tag = Priv
• B. tag = Priv *
• C. tag = priv *
• D. タグ=特権

正解：B

解説：
Explanation
The tag=Priv* search will return events containing a tag named Privileged, as well as any other tag that starts with Priv. The asterisk (*) is a wildcard character that matches zero or more characters. The other searches will not match the exact tag name.

質問 # 150
次の検索のうち、マクロの有効な使用法を示しているのはどれですか？ （該当するものをすべて選択してください。）

• A. index = main source = mySource oldField = * | 'makeMyField（oldField）' | table _time newField
• B. index = main source = mySource oldField = * | "'newField（' makeMyField（oldField） '）'" | table _time newField
• C. index = main source = mySource oldField = * | eval newField = 'makeMyField（oldField）' | table _time newField
• D. index = main source = mySource oldField = * |統計if（ 'makeMyField（oldField）'）| table _time newField

正解：A、C

質問 # 151
次の文のうち、マクロについて説明しているのはどれですか？

• A. マクロは再利用可能な検索文字列であり、完全な検索が含まれている必要があります。
• B. マクロは再利用可能な検索文字列であり、固定の時間範囲が必要です。
• C. マクロは再利用可能な検索文字列であり、検索の一部のみを含める必要があります。
• D. マクロは、柔軟な時間範囲を持つ再利用可能な検索文字列です。

正解：D

質問 # 152
データモデルとピボットの関係は何ですか？

• A. ピボットとデータモデルには関係がありません。
• B. データモデルはピボットのデータセットを提供します。
• C. ピボットとデータモデルは同じものです。
• D. ピボットはデータモデルのデータセットを提供します。

正解：B

質問 # 153
......

SPLK-1002日本語試験問題集合格させるのは更新されたのは2023年年最新の認証済み試験問題：https://www.jpntest.com/shiken/SPLK-1002J-mondaishu