logo
其他助理级📊 数据

Splunk Core Certified User

验证使用 Splunk 进行基础数据搜索、字段操作、报表创建和仪表板设计的核心能力,是 Splunk 认证体系的入门资格。

Start PracticeBrowse Learning Path
$0
Exam Fee
65
Questions
90m
Exam Duration
70/100
Passing Score
?
Bottom line · It depends

免费的入门级 Splunk 认证,SOC 分析师和 IT 运维在 Splunk shop 必拿,其他场景看公司栈。

MEMBERSHIP

JR Academy Membership

Unlock all certifications, courses & tools at a fraction of the cost

  • All certification exam prep included
  • Course discounts up to 50%
  • AI tools & Chrome extensions
  • Priority 1-on-1 coaching
View Membership Plans

What this certification covers

This page is structured for quick scanning first: exam format, fit, prep time, and the actual study scope.

Splunk Core Certified User(SPLK-1001)是 Splunk 官方认证体系的第一张证,也是整个体系的地基。最重要的变化是 2024 年 Splunk 把这张证改成了完全免费 — 以前考一次 $130 USD,现在通过 Splunk 官方训练平台注册就能零成本参加。Splunk 这么做的原因很直接:扩大 Splunk 人才池,降低企业引入 Splunk 的用人门槛。对考生来说这意味着你几乎没有理由不考。

考试形式:约 57 道题,57 分钟,70% 通过。题目几乎全部围绕 SPL(Search Processing Language) 展开 — 基础搜索语法、字段提取、time range modifier、top/rare/stats/chart/timechart 这些 transforming command、lookup 表的使用、以及 dashboard 和 alert 的基础配置。不考 eval、rex、正则、数据模型、CIM 这些高级内容,那些是 SPLK-1002 Power User 的范围。认证有效期 3 年。

这张证的含金量完全取决于你所在的技术栈。2024 年 Cisco 以 280 亿美元收购 Splunk,这是 Cisco 历史上最大的收购案,也直接说明 Splunk 在企业 SIEM 和 observability 市场的地位 — 它依然是 Fortune 500 SOC、大型金融、电信、政府机构的事实标准。但另一方面,Datadog、Elastic、Grafana + Loki 这些竞争对手在云原生和中小企业市场正在快速蚕食 Splunk 的份额。如果你未来的公司已经从 Splunk 迁到 Datadog,这张证对你帮助有限。

换句话说:SPLK-1001 是一张"跟着客户走"的证。客户用 Splunk,你就必须会;客户不用 Splunk,它只是简历上一行装饰。

You will work with

Splunk Web 界面操作SPL 基础搜索语言top / rare / stats / chart / timechart 转换命令host / source / sourcetype 默认字段使用报表创建与保存基础仪表板面板设计Lookup 查找表配置计划报告与告警设置

After preparation

  • 自信通过 Splunk Core Certified User SPLK-1001 认证考试
  • 掌握 SPL 搜索语言和核心转换命令的实际应用
  • 能够独立创建 Splunk 报表和基础仪表板
  • 具备进一步备考 SPLK-1002 Power User 的知识基础

Exam details

Exam Code
SPLK-1001
Provider
其他认证机构
Duration
90 minutes
Question Count
65 questions
Passing Score
70/100
Validity
3 years
Exam Fee
$0 USD
Question Types
single-choice, multiple-choice
Languages
English
Official Page
Open AWS page

Who should take it

Good fit

  • Splunk 平台初级用户,需要通过官方认证验证使用能力
  • IT 运维和安全监控工程师,日常使用 Splunk 分析日志
  • 数据分析师和 SOC 初级分析师,需要掌握 Splunk 搜索语言
  • 希望进入 Splunk 认证体系的 IT 从业者

Before you start

  • 3-6 个月 Splunk 实际使用经验(推荐)
  • 基本了解 IT 基础设施概念(日志、服务器、网络)
  • 无需先行认证,但建议先完成 Splunk Fundamentals 1 免费课程

Is it worth it? Career value

Salary ranges, target job titles, and the real career impact of holding Splunk SPLK-1001.

澳洲
$85K-135KAUD
美国
$95K-150KUSD
中国
¥200K-400KCNY
新加坡
$70K-120KSGD
SOC Analyst (Tier 1/2)Security AnalystIT Operations EngineerObservability EngineerSplunk AdministratorSIEM Engineer安全运营分析师日志分析工程师

谁最该考这张证

  1. SOC Tier 1 / Tier 2 分析师:几乎所有用 Splunk ES(Enterprise Security)的 SOC 岗位 JD 里都会写 "Splunk experience required"。SPLK-1001 是你向 HR 证明"我真的会用 Splunk 搜日志"的最低门槛。澳洲、美国大型银行(CBA、Westpac、JPMorgan)的 SOC 团队几乎 100% 用 Splunk。

  2. IT 运维 / NOC 工程师:如果你所在公司用 Splunk 做日志聚合和故障排查,这张证帮你从"只会看 Kibana-like 界面"升级到"能写 SPL 自助排查"。日常工作效率翻倍。

  3. 转行安全的传统 IT 人员:SOC 是进入网络安全最常见的入门岗位,而 SOC 的日常工具 80% 时间都在 Splunk 里。SPLK-1001 + CompTIA Security+ 或 CySA+ 是转行 SOC 的黄金组合。

谁不需要考

  • 在 Datadog / Elastic / Grafana 栈的公司:SPL 语法和这些工具的查询语言完全不同,知识迁移价值低。
  • 纯开发岗位:后端/前端工程师日常看日志可能就用 kubectl logs 或 Datadog,Splunk 的深度搜索技能用不上。
  • 想做云原生 observability:OpenTelemetry + Grafana + Loki + Tempo 这套栈才是未来,Splunk 的认证体系对这条路帮助不大。

薪资的真相:Splunk 技能本身不直接加薪,它是一项"特定岗位的必备门票"。在一个 Splunk shop 里,SOC 分析师起薪 AUD 85k,有 2-3 年 Splunk 经验能做到 120k+。但如果你跳到一家用 Datadog 的公司,这段经验只能折算成"通用日志分析能力"。

Cisco 收购后的不确定性:Cisco 280 亿美元吞下 Splunk 后,Splunk 的产品路线图和定价策略正在和 Cisco 的 XDR、ThousandEyes 整合。短期内 Splunk 依然主导企业 SIEM 市场,但 3-5 年后的格局有变数。SPLK-1001 作为免费入门证,ROI 依然正向。

Study preparation

With hands-on AWS

1-2 weeks

From scratch

3-5 weeks

Daily pace

1-1.5 hours/day

Learning path preview

3 chapters
1
Splunk 基础组件与搜索入门
40 min
2
字段操作、转换命令与报表仪表板
120 min
3
模拟考试:全真题型综合演练
100 min

Step-by-step preparation

A concrete week-by-week plan from past test-takers — not generic advice.

1

第一阶段:注册 Splunk 免费环境(3-5 天)

去 splunk.com 下载 Splunk Enterprise Free License(每天可索引 500MB,永久免费),本地装上。或者更快的方式:注册 Splunk Cloud Free Trial(14 天全功能)。必须动手,不动手过不了 — 因为考试有大量界面操作和 SPL 输出结果的识别题。导入官方示例数据 tutorialdata.zip 和 Buttercup Games 数据集,这两份数据是 Splunk 官方教学的标配,考试里不少场景都长这样。

2

第二阶段:刷完 Splunk Fundamentals 1(1 周)

Splunk 官方的 Fundamentals 1 课程现在完全免费(splunk.com/en_us/training),约 10 小时视频,直接覆盖 SPLK-1001 考纲的 80%。重点章节:Introduction to Splunk(组件 Indexer/Search Head/Forwarder)、Basic Searching、Using Fields、Creating Reports and Dashboards。每看完一节立刻在你的 Splunk 实例里复现操作一遍,不要光看视频。

3

第三阶段:SPL 命令手动练习(1-2 周)

把下面这组命令每一个都在自己的 Splunk 里跑一遍:`search`、`fields`、`table`、`rename`、`dedup`、`sort`、`head/tail`、`top`、`rare`、`stats`、`chart`、`timechart`、`lookup`。特别要理解 `stats` vs `chart` vs `timechart` 的输出差异 — 这是高频考点。自己出题自己答:比如"找出过去 24 小时里访问量 top 10 的 URL"、"按小时统计每个 product_id 的销售额",写出 SPL 并验证。

4

第四阶段:模考 + 官方样题(3-5 天)

JR Academy 的 206 道题刷 1-2 遍,错题本必须做。Splunk 官方也提供 Sample Test(约 20 题),一定要做,题型和真考最接近。模考稳定 80% 以上再约考试。考试前一天重点复习:pipe 的执行顺序、时间范围修饰符(earliest/latest)、字段提取和 lookup 的区别、dashboard 的保存流程。

Real test-taker experiences

What it actually took for real candidates to pass — prep time, scores, and lessons learned.

公司是 Splunk ES shop,入职前两周自学考的。说实话考试本身不难,但如果你没真的在 Splunk 里敲过 SPL,光看视频会死在 stats 和 chart 的输出题上。我练了 3 天 Buttercup Games 数据才搞明白。

Daniel T.85%
Sydney SOC Tier 1 Analyst · 3 weeks prep

我日常就是在公司 Splunk 里排故障,以为不用准备就能过,结果模考 60% 被打醒。问题是我平时只会 `index=prod error | head 100` 这种,考试里的 timechart、lookup、dashboard 那些我从来没用过。老老实实刷了 10 天视频才过。

Mei L.78%
IT Operations Engineer (电信) · 4 weeks prep

拿了 Security+ 之后补的这张证。Splunk Fundamentals 1 + 206 道题 + 一周动手操作就够了。面试的时候提到 SPLK-1001,HR 眼睛亮了 — 她说大部分转行的人简历上就一个 Security+,能证明真的动手过 Splunk 的很少。

Alex Z.82%
转行 SOC(前 Linux 运维) · 5 weeks prep

Certification comparison

Splunk SPLK-1001Splunk SPLK-1002Splunk SPLK-1003
Provider其他其他其他
Level助理级助理级助理级
Fee$0$0$0
Duration90 min90 min90 min
Question count656565
Validity3 yrs3 yrs3 yrs

Study tips and common mistakes

💡

**57 分钟 57 题,平均每题 1 分钟**:不要在任何一道题上卡超过 90 秒。不确定的立刻 Mark,最后回头再看。

💡

**注意 transforming command 的位置**:transforming command(stats/chart/timechart/top/rare)只能出现在搜索的末尾或倒数第二段,不能穿插在搜索中间。看到选项里 transforming command 出现在管道中段的,基本可以直接排除。

💡

**默认字段是送分题**:host、source、sourcetype、_time、_raw、index 这 6 个必须记死,考试至少 5 道题直接考这个。

💡

**看到"不修改原始数据"选 Lookup 或 Field Alias**:Splunk 强调"schema on read",任何修改原始事件的操作都不对。

💡

**免费考试约考步骤**:登录 Splunk 训练平台 → 选 SPLK-1001 → 链接到 Pearson VUE → 选在线监考或线下考点。在线监考要提前 15 分钟登录测试摄像头和网络。

💡

**考完立刻拿结果**:交卷后屏幕直接显示 Pass/Fail 和各领域得分。挂了有 14 天等待期才能重考,但因为免费,再考一次没压力。

⚠️

**搞不清 pipe 的执行顺序** — SPL 是从左到右顺序执行的。`| stats count by host | where count > 100` 和 `| where count > 100 | stats count by host` 结果完全不同。考试至少 3-5 道题卡这个。

⚠️

**stats vs chart vs timechart 分不清** — stats 产出表格、chart 产出两维交叉表(第一个 by 字段作为行、第二个作为列)、timechart 强制按 _time 作为 X 轴。考前必须在自己的 Splunk 里把三个命令用同一份数据跑一遍对比输出。

⚠️

**Lookup 和字段提取混淆** — Lookup 是从外部 CSV/KV 文件补充字段,字段提取是从原始日志文本里解析字段。考试会问"如何给现有事件添加地理位置信息"这种,答案是 lookup,不是 extraction。

⚠️

**时间范围修饰符语法错误** — `earliest=-24h latest=now` 是正确的,`earliest=-24hours` 是错的。时间修饰符必须放在搜索命令的开头,不能放在 pipe 后面。

⚠️

**以为考 eval 和 rex** — 这俩是 SPLK-1002 Power User 的考点,SPLK-1001 不考。别浪费时间学 eval 的复杂函数和正则表达式。

⚠️

**不在真实 Splunk 里练** — 这是最大的坑。SPLK-1001 有大量"下图是 SPL 搜索结果,哪个选项描述正确"的题,纯看书完全不行。必须动手。

FAQ

Frequently Asked Questions

If you plan to take Splunk SPLK-1001, start with real practice.

206+ questions, chapter-by-chapter learning, mock exams, wrong-question review, and AI tutor support live in the exam page.

Go to exam prep

From $29 · 2 free chapters

Related certifications

Splunk SPLK-1002

其他 · 助理级
$065 questions90 min

Splunk SPLK-1003

其他 · 助理级
$065 questions90 min

Splunk SPLK-1004

其他 · 助理级
$063 questions90 min

CompTIA CySA+

CompTIA · 专业级
$40485 questions165 min