logo
其他助理级📊 数据

Splunk Core Certified Power User

验证 Splunk 高级搜索命令、知识对象管理、Lookup 查找表、数据模型与 CIM 规范化等进阶技能,是从基础用户迈向 Splunk 专家的关键认证。

Start PracticeBrowse Learning Path
$0
Exam Fee
65
Questions
90m
Exam Duration
70/100
Passing Score
?
Bottom line · It depends

Splunk Power User 是 SOC 分析师和 Splunk shop IT 运维的"进阶门票",非 Splunk 栈的公司没必要考。

MEMBERSHIP

JR Academy Membership

Unlock all certifications, courses & tools at a fraction of the cost

  • All certification exam prep included
  • Course discounts up to 50%
  • AI tools & Chrome extensions
  • Priority 1-on-1 coaching
View Membership Plans

What this certification covers

This page is structured for quick scanning first: exam format, fit, prep time, and the actual study scope.

Splunk Core Certified Power User(SPLK-1002)是 Splunk 认证体系的第二级,承上启下 — 上接免费的 SPLK-1001 User,下接 SPLK-1003 Admin 和 SPLK-1004 Advanced Power User。官方要求必须先通过 SPLK-1001 才能报考 SPLK-1002,这点和 AWS/Azure 的认证不同,Splunk 的 path 是强制递进的。

考试形式:65 道题,57 分钟,70% 通过,费用 130 美元(2024 年 Splunk 从原来的 150 美元降价到 130,配合 SPLK-1001 改免费的整体策略 — Splunk 在主动降低整个认证体系的门槛,为了扩大 Splunk 人才池)。有效期 3 年。

和 SPLK-1001 只考基础 SPL 不同,SPLK-1002 的核心是高级 SPL + 知识对象(Knowledge Objects)。具体来说:eval 函数(if/case/coalesce/match/replace)、where 子句、subsearch 子搜索、rex/regex 正则字段提取、stats vs eventstats vs streamstats 的差异、lookup(CSV 和 KV Store 两种)、自动 lookup、Event Types、Tags、Macros、Workflow Actions、Data Models、以及 CIM(Common Information Model)数据规范化。这是一张必须动手才能考过的证 — 光看视频做不到。

2024 年 Cisco 以 280 亿美元收购 Splunk,是 Cisco 历史上最大的收购。短期内 Splunk 在 Fortune 500、大型金融、电信和政府机构的 SIEM 市场地位稳固,长期则要看 Cisco 怎么整合 Splunk 和自家的 XDR、ThousandEyes。对考生的现实影响是:未来 2-3 年 SPLK-1002 依然是 Splunk 岗位的标配,但 3-5 年后的走向有不确定性。

一句话判断:你所在的(或想去的)公司用 Splunk ES 做 SOC,或者用 Splunk 做企业日志平台 — 这张证必考;不用 Splunk 的公司,这张证对你帮助很小。

You will work with

eval 函数与 where 子句高级用法rex / regex 正则表达式字段提取subsearch 子搜索Event Types(事件类型)与 Tags(标签)Macros(宏)创建与参数传递Lookup 查找表(CSV / KV Store)Data Models(数据模型)与 Pivot 报表CIM 通用信息模型规范化mvexpand / mvcount 多值字段处理Workflow Actions(工作流操作)

After preparation

  • 自信通过 Splunk Core Certified Power User SPLK-1002 认证
  • 掌握 eval、rex、subsearch 等高级 SPL 命令的实际应用
  • 能够独立创建和管理知识对象(宏、事件类型、查找表)
  • 理解 CIM 数据规范化原理,为 ES 安全分析打好基础

Exam details

Exam Code
SPLK-1002
Provider
其他认证机构
Duration
90 minutes
Question Count
65 questions
Passing Score
70/100
Validity
3 years
Exam Fee
$0 USD
Question Types
single-choice, multiple-choice
Languages
English
Official Page
Open AWS page

Who should take it

Good fit

  • 已持有 SPLK-1001 认证,准备晋级 Power User 的 Splunk 用户
  • SOC 分析师和安全工程师,需要构建复杂 SPL 关联查询
  • 数据分析师和 Splunk 报表开发人员,需要深入掌握数据模型
  • Splunk 知识对象管理员(事件类型、宏、查找表维护)

Before you start

  • 已通过 SPLK-1001 Splunk Core Certified User 认证(官方前提要求)
  • 熟悉基础 SPL 搜索命令(stats/chart/top 等)
  • 3-6 个月以上 Splunk 搜索和报表创建实际经验

Is it worth it? Career value

Salary ranges, target job titles, and the real career impact of holding Splunk SPLK-1002.

澳洲
$100K-155KAUD
美国
$110K-175KUSD
中国
¥250K-500KCNY
新加坡
$85K-140KSGD
SOC Analyst (Tier 2/3)Splunk Power UserSplunk DeveloperSIEM EngineerSecurity AnalystThreat Detection EngineerIT Operations AnalystObservability Engineer安全运营分析师日志分析工程师

谁最该考这张证

  1. 已经在 Splunk shop 的 SOC Tier 1 想升 Tier 2:Tier 1 看 alert 就够了,Tier 2 要会自己写 SPL 做 threat hunting、构建 correlation search、维护公司的 Macro 和 Lookup 库。SPLK-1002 的知识点和 Tier 2 日常工作高度重合。澳洲四大行(CBA、NAB、Westpac、ANZ)的 SOC 升 Tier 2 几乎都会要求 SPLK-1002 或同等经验。

  2. Splunk 开发人员 / 知识对象管理员:专门负责维护公司 Splunk 的 Macros、Event Types、Data Models、CIM 映射的角色。这是在大型 Splunk 部署里一个非常实在的岗位,美国市场薪资可以到 140-170k USD。

  3. 转型 Splunk Admin 的前置要求:SPLK-1003 Enterprise Admin 虽然不强制 SPLK-1002,但实际上 Admin 岗位面试一定会问高级 SPL 和知识对象,Power User 的知识是做 Admin 的必备基础。

谁不需要考

  • 在 Datadog / Elastic / Splunk 之外栈的公司:eval/rex/Data Model/CIM 这些知识迁移到其他 SIEM 完全不能用。
  • SPLK-1001 刚过就想一口气考完:Power User 考点密度很大,没有 3-6 个月 Splunk 实操经验直接上很痛苦。
  • 只看 Splunk 仪表板的被动用户:如果你工作中不需要自己写 SPL,只是看别人做好的 dashboard,这张证对日常工作没帮助。

薪资的真相:SPLK-1002 对薪资的加成是"岗位层级跃升",而不是"基础工资 +5%"。拿到 Power User + 有实际项目经验后,你从 SOC Tier 1(AUD 85-100k)跨到 Tier 2 或 Splunk Developer(AUD 120-155k),这个跨度是 20-40%,但前提是你真的能写出高质量的 SPL 和 Data Model,不是"只有证"。在美国市场,Splunk 专业岗位(Splunk Developer / Splunk Architect)普遍比通用 SIEM 岗位高 10-20%,因为 Splunk 人才相对稀缺。

Cisco 收购的长期影响:Cisco 正在把 Splunk 整合进自己的 XDR 产品线,未来 Splunk 的定价和客户结构可能向 Cisco 现有客户倾斜。对 SPLK-1002 持证者来说短期是利好(Cisco 渠道会带来更多 Splunk 项目),长期则要观察 Splunk 是否还会作为独立产品存在。

Study preparation

With hands-on AWS

3-5 weeks

From scratch

6-10 weeks

Daily pace

1-2 hours/day

Learning path preview

3 chapters
1
高级搜索命令与字段提取
40 min
2
知识对象管理、Lookup 与数据模型
120 min
3
模拟考试:Power User 全域综合测试
100 min

Step-by-step preparation

A concrete week-by-week plan from past test-takers — not generic advice.

1

第一阶段:确认 SPLK-1001 已过 + 搭实验环境(2-3 天)

SPLK-1001 是官方硬性前置,没过先去考 — 现在免费,没有理由不考。环境上建议直接装 Splunk Enterprise Free License(每天 500MB,永久免费)到本地 VM 或 WSL,或者用 Splunk Cloud Free Trial 14 天。导入 tutorialdata.zip 和 Buttercup Games 两份官方数据集。Power User 的每一个考点都要在真环境里练,光看书 100% 过不了。

2

第二阶段:刷 Splunk Fundamentals 2 课程(1-2 周)

Splunk 官方的 Fundamentals 2 课程目前也免费(登录 Splunk Training),约 12 小时视频,几乎一对一覆盖 SPLK-1002 考纲。重点章节:Beyond Search Fundamentals(eval/where/subsearch)、Transforming Commands(stats/chart/timechart 的高级用法)、Creating and Managing Fields(rex/regex 提取、Field Aliases、Calculated Fields)、Creating Tags and Event Types、Creating and Using Macros、Creating and Using Workflow Actions、Creating Data Models。每看一节立刻在自己环境里复现。

3

第三阶段:SPL 高级命令 + 知识对象动手练(2-3 周)

这是 Power User 备考的核心。具体任务:(1) eval 的 10+ 个常用函数(if/case/coalesce/match/replace/round/tostring/strftime/strptime/len)每个至少写 3 个例子;(2) 用 rex 命名捕获组从 Apache 日志里提取 URI、status、response_time,对比 sed 模式替换;(3) 上传一份 CSV(比如 product_category.csv)做静态 lookup,再配置一个 automatic lookup;(4) 自己创建一个带参数的 Macro,比如 `top_errors(count)` 返回 top N 个错误;(5) 完整走一遍 Data Model 创建 → Pivot 生成报表 → 加速 Data Model 的流程。这些做完才算真的会 Power User。

4

第四阶段:CIM 规范化 + 模考(1 周)

CIM 是很多人容易忽略的点。理解 CIM 的核心思路:把不同厂商日志的字段名(比如 Cisco ASA 的 src_ip、Palo Alto 的 source_ip、iptables 的 src)统一映射到 CIM 的标准字段 src。装一个 Splunk CIM Add-on 看它的 tags.conf 和 eventtypes.conf 怎么写的。最后两天做模考:JR Academy 的题库刷 1-2 遍 + Splunk 官方 Sample Test,模考稳定 80% 以上再约考试。错题本必做,尤其是 stats vs eventstats vs streamstats 的区别题。

Real test-taker experiences

What it actually took for real candidates to pass — prep time, scores, and lessons learned.

公司是 Splunk ES + Enterprise Security,从 Tier 1 升 Tier 2 组里要求必须有 SPLK-1002。我前前后后花了 5 周,其中 3 周在自己 Splunk Free 里练 eval 和 Data Model。考试里真的有场景题问"用 eventstats 还是 streamstats",幸亏我提前把两个命令跑过对比,不然会懵。

Jason K.83%
Melbourne SOC Tier 2(金融) · 5 weeks prep

日常工作就是给 SOC 团队写 Macros 和维护 Lookup 库,考试内容基本就是日常工作。但 CIM 那块我平时用得少,花了整整 2 天把 CIM Add-on 的配置文件翻了一遍才搞懂。强烈建议所有人不要跳过 CIM,我看到至少 6-8 道题直接考 CIM 字段映射。

Rita S.88%
Splunk Developer(美国大型银行) · 4 weeks prep

SPLK-1001 过了之后隔了 3 个月才考 1002,事实证明间隔太久不是好事,很多 SPL 语法都忘了。Power User 最大的坑是 rex 正则 — 我以前没写过命名捕获组,光这一项就练了一周。另外 Macro 的参数传递语法一定要在真环境里敲一遍,光看文档记不住。

Wei L.76%
IT Ops 转 SOC(北京某电信) · 8 weeks prep

Certification comparison

Splunk SPLK-1002Splunk SPLK-1001CompTIA CySA+
Provider其他其他CompTIA
Level助理级助理级专业级
Fee$0$0$404
Duration90 min90 min165 min
Question count656585
Validity3 yrs3 yrs3 yrs

Study tips and common mistakes

💡

**65 题 / 57 分钟,平均 52 秒一题**:比 SPLK-1001 更紧张,长题干的场景题要快速抓关键词。看到 SPL 代码题先找管道符之间的逻辑。

💡

**transforming command 位置规则依然重要**:stats/chart/timechart/top/rare 只能在搜索末尾附近。如果选项里出现在搜索中段的,基本是干扰项。

💡

**"不修改原始事件"优先选 Field Alias / Calculated Field / Lookup**:Splunk 的 schema on read 原则 — 任何涉及修改 _raw 的选项都是错的。

💡

**看到"参数化可复用 SPL 片段"选 Macro,不是 Saved Search**:Macro 支持参数传递语法 `macro_name(arg1)`,Saved Search 是固定的。

💡

**CIM 相关题通常问字段映射或 datamodel 命令**:熟悉 Network_Traffic、Authentication、Web 这三个最常见的 CIM 模型及其核心字段(src、dest、user、action)。

💡

**费用和约考**:考试费 $130 USD(Pearson VUE),可以在线监考或线下考点。Splunk Training 登录后 → Certification → Schedule Exam → 跳转到 Pearson VUE。挂了 14 天后可以重考,重考还是全价,所以第一次尽量准备充分。

💡

**考后立即出结果**:交卷屏幕直接显示 Pass/Fail 和各考试域的百分比,没通过可以看到自己哪一块薄弱,方便下次针对性补。

⚠️

**搞混 Lookup 用 CSV 还是 KV Store** — CSV lookup 适合静态、小规模(几万行以下)、只读的参考表,比如 product_category、country_code。KV Store lookup 适合需要频繁写入更新、多 search head 共享状态的场景,比如 threat intel feed、用户会话跟踪。考题会问"需要从多个 search head 同时更新的查找表用哪种",答案是 KV Store,不是 CSV。

⚠️

**eval 函数里的引号和括号写错** — eval 的字符串字面量必须用双引号(`eval status="error"`),字段引用不加引号(`eval new_field=status`),函数嵌套容易漏括号。最常见的错误:`eval result=if(status="200","ok","fail")` 和 `eval result=case(status="200","ok",status="404","not_found",1=1,"other")`。考试一定会有一两道题直接给 eval 语句让你判断输出,括号错位的选项是常见干扰项。

⚠️

**stats vs eventstats vs streamstats 分不清** — stats 聚合后把原始事件丢掉只保留聚合结果;eventstats 聚合后把结果作为新字段追加回每一个原始事件;streamstats 逐事件累计计算(running total)。考试最常见的场景:需要"在每一行旁边显示这个 host 的总数"用 eventstats,需要"累计计算前 N 行之和"用 streamstats。记不清就在自己 Splunk 里跑一次对比。

⚠️

**时间修饰符语法错误** — `earliest=-24h@h latest=@h` 表示"从 24 小时前的整点到当前整点",`@h` 是 snap-to-hour。常见错误:写成 `earliest=-24hours` 或 `earliest=-1d latest=0`(latest=0 是非法的)。另一个坑:`relative_time(now(), "-1d@d")` 在 eval 里用来生成相对时间,容易和搜索头部的时间修饰符混淆。

⚠️

**Knowledge Object 的权限搞不清** — Splunk 的知识对象有三级权限:Private(仅创建者可见)、App(在当前 app 内所有人可见)、Global(所有 app 可见)。默认新建是 Private,这会导致"同事看不到我做的 Event Type"。考题会问"为什么同事的 search 里 eventtype 不生效",答案通常是权限没改到 App 或 Global。这个坑很多人踩。

⚠️

**以为 Data Model 必须加速才能用** — Data Model 不加速也能直接用 Pivot 做查询,加速(Data Model Acceleration)只是让查询变快(通过预计算 tsidx 文件)。考题会问"加速的前提条件"——答案包括:只能加速 Accelerated-Compatible Data Model、需要管理员权限、会占用额外磁盘空间。新手容易误以为"不加速 Data Model 就用不了"。

⚠️

**忽略 rex 命令的 max_match 参数** — `| rex field=_raw "(?<ip>\d+\.\d+\.\d+\.\d+)" max_match=0` 里的 `max_match=0` 表示提取所有匹配(返回多值字段),默认是 1 只取第一个。考试里有日志行里有多个 IP、问如何全部提取的场景题。

FAQ

Frequently Asked Questions

If you plan to take Splunk SPLK-1002, start with real practice.

179+ questions, chapter-by-chapter learning, mock exams, wrong-question review, and AI tutor support live in the exam page.

Go to exam prep

From $29 · 2 free chapters

Related certifications

Splunk SPLK-1001

其他 · 助理级
$065 questions90 min

CompTIA CySA+

CompTIA · 专业级
$40485 questions165 min