这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
认证概述
SPLK-1002 Splunk Core Certified Power User 是 Splunk 认证体系的中级资格认证,在 SPLK-1001 基础上验证候选人能够创建和管理知识对象、使用高级 SPL 命令进行复杂数据分析,以及构建数据模型和使用 CIM 进行数据规范化。
考试领域(Exam Domains)
- 高级搜索命令(约 25%):eval 函数、where 子句、子搜索(subsearch)、多值字段处理(mvexpand/mvcount)
- 知识对象管理(约 20%):Event Types(事件类型)、Tags(标签)、Macros(宏)、Workflow Actions、Data Models
- 字段提取与转换(约 15%):rex/regex 正则表达式提取、Field Aliases(字段别名)、Calculated Fields(计算字段)
- Lookup 查找表(约 15%):CSV 查找、KV Store 查找、自动查找(Automatic Lookups)配置
- 报表与可视化(约 15%):高级仪表板创建、drilldown 配置、动态表单输入
- CIM 与数据规范化(约 10%):Common Information Model 框架、数据模型字段标准化
目标考生
- 已通过 SPLK-1001 的 Splunk 用户,希望提升至中级技能
- SOC 分析师、数据工程师需要创建复杂 SPL 查询和数据模型
- Splunk 平台知识对象管理员和报表开发人员
你会反复碰到的核心服务
eval 函数与 where 子句高级用法rex / regex 正则表达式字段提取subsearch 子搜索Event Types(事件类型)与 Tags(标签)Macros(宏)创建与参数传递Lookup 查找表(CSV / KV Store)Data Models(数据模型)与 Pivot 报表CIM 通用信息模型规范化mvexpand / mvcount 多值字段处理Workflow Actions(工作流操作)
学完以后你能带走什么
- 自信通过 Splunk Core Certified Power User SPLK-1002 认证
- 掌握 eval、rex、subsearch 等高级 SPL 命令的实际应用
- 能够独立创建和管理知识对象(宏、事件类型、查找表)
- 理解 CIM 数据规范化原理,为 ES 安全分析打好基础
考试详情
考试代码
SPLK-1002
发证机构
其他认证机构
时长
90 分钟
题目数
65 题
及格分
70/100
有效期
3 年
适合谁考
适合人群
- 已持有 SPLK-1001 认证,准备晋级 Power User 的 Splunk 用户
- SOC 分析师和安全工程师,需要构建复杂 SPL 关联查询
- 数据分析师和 Splunk 报表开发人员,需要深入掌握数据模型
- Splunk 知识对象管理员(事件类型、宏、查找表维护)
开始前最好先有
- 已通过 SPLK-1001 Splunk Core Certified User 认证(官方前提要求)
- 熟悉基础 SPL 搜索命令(stats/chart/top 等)
- 3-6 个月以上 Splunk 搜索和报表创建实际经验
备考节奏
有 AWS 实操经验
4-6 周
零基础切入
8-10 周
建议日投入
1-2 小时/天
学习路径预览
3 章1
高级搜索命令与字段提取
40 min2
知识对象管理、Lookup 与数据模型
120 min3
模拟考试:Power User 全域综合测试
100 min同赛道认证对比
| Splunk SPLK-1002 | CCDAK | CCFA | |
|---|---|---|---|
| 机构 | 其他 | 其他 | 其他 |
| 级别 | 助理级 | 助理级 | 专业级 |
| 考试费 | $0 | $150 | $300 |
| 时长 | 90 min | 90 min | 90 min |
| 题量 | 65 | 60 | 60 |
| 有效期 | 3 年 | 2 年 | 3 年 |
备考技巧与常见失误
💡
65 题 90 分钟,平均每题 1 分钟,合理分配时间
💡
及格分 70/100,不确定的题先标记跳过,回头再做
💡
排除法非常有用 — 先排掉明显错误的选项,剩下的再分析
⚠️
没有读完所有选项就选答案 — 题目经常有"最佳"答案和"正确但不最佳"的干扰项
⚠️
备考只刷题不理解原理 — 考试场景题需要理解底层概念
⚠️
忽略时间管理 — 在难题上卡太久,导致后面简单题没时间做