こんばんは。torippy1024です。
需要がどこにあるのか不明ですが、先日、とうとうSPLK-3003(Splunk Core Certified Consultant)を取得してきたので、その勉強メモを書きます。
まあこの資格、勉強して取得するものではなく、十分なSplunkに関する経験を積んだ後に、間違いない知識と実装力があることを示すための資格なので、勉強メモを見て勉強するものではない気もしますが・・・・・・。
SPLK-3003(Splunk Core Certified Consultant)とは
公式サイト
Splunk Core Certified Consultantは、Splunk資格の最上位資格です。
(別に公式に明言されているわけでないのですが、前提条件やトラックパスを踏まえるとそう言い切っていい資格だと思います)
Splunk Enterprise/Cloudに関する十分な知識と経験、そして実装力があることを証明する資格だと思います。
個人的見解ですが、この資格を取得していれば、イチからオンプレ環境下で、Splunk Enterpriseを設計・実装することが可能だと言えると思います
試験概要はいつも通り、以下の公式サイトを参照してください。
当然(?)、試験言語は英語のみです。前提条件であるWebベースのラボも英語のみです。
ただインストラクターによる講義+ラボの研修については日本語の研修もありましたので、よく確認してみてください。(2025年1月時点)
概要:
https://www.splunk.com/ja_jp/training/certification-track/splunk-core-certified-consultant.html
トラックフローチャート:
https://www.splunk.com/en_us/pdfs/training/splunk-core-certified-consultant-track.pdf
blueprint:
https://www.splunk.com/en_us/pdfs/training/splunk-test-blueprint-consultant.pdf
前提条件
Core Certified Consultant試験を受験するためには、数多くの前提資格と前提研修をクリアしている必要があります。
前提資格
前提資格は以下の通りです。
- (1)Core Certified Power User
- (2)Core Certified Advanced Power User
- (3)Enterprise Certified Admin
- (4)Enterprise Certified Architect
ただ、Core Certified Consultantを受けようとするレベルの人ならば知っていると思いますが、(4)EnterpriseCertified Architectを取得するための前提資格に(1)Core Certified Power Userと(3)Enterprise Certified Adminが含まれています。
実質的には(4)Enterprise Certified Architectと、(1)Advanced Power Userを取得すればOKです。
さらに、Advanced Power Userも、Splunkが指定するe-Learningを受験すれば代替できる(https://www.splunk.com/en_us/pdfs/training/splunk-core-certified-consultant-track.pdf を参照)ようなので、最低限必要な資格は(4)Enterprise Certified Architectだけと言うことになります。
(まあArchitectをとるだけでも十分大変なのですが・・・)
前提研修
前提研修は以下の通りです。まあ大変です。
- Core Consultant Labs[Webベースラボ]
- Services Consultant Architect Practice Lab 1
- Services Consultant Architect Practice Lab 2
- Services Consultant Architect Practice Lab 3
- Implementation Fundamentals Practical Lab
- Distributed Search Migration Lab
- Indexer Cluster Lab
- Services Core Implementation[インストラクターによる5日間の講義+研修]
Core Consultant Labsは、Webベースなので時間を見つけて実施すればよいのですが、数が多い上にどれも制限時間が4時間や8時間あり、かなり時間と集中力が必要となるラボです。
まっさらなEC2を複数台渡され、Splunk Enterpriseの初期インストールから始めて、インデクサークラスターなどの分散環境を構築する必要があります。
ただ、Core Consultant Labsよりももっと辛いのがServices Core Implementationです。
5日間をフルに使った講義+ラボ研修の上、そもそもあまりヒントがない計8個のラボを大部分クリアしないと不合格にされるとんでもない研修です。ビジネス上級レベルの英語力がなく、日本人講師でない場合は全て英語になるためもっと難易度があがります。
講師には合否に関する裁量がそれなりに与えられているらしく、講義中の質問や回答態度も重要になってくるようです。
Services Core Implementationは、splunk社員でもよく落ちる研修らしいので、ぶっちゃけ一回目で受かることはあまり期待せず、一回目はラボの詳細を把握する目的で受験した方がいいかもしれません。私ももちろん一回目は落ちました。
その他、研修に関する情報は以下を参照してください。
Core Consultant Labs
https://www.splunk.com/ja_jp/training/courses/core-consultant-labs.html
Services Core Implementation
https://www.splunk.com/ja_jp/training/courses/services-core-implementation.html
前提条件となる必須資格と必須研修はフローチャートを参照してください。
https://www.splunk.com/en_us/pdfs/training/splunk-core-certified-consultant-track.pdf
出題分野と割合
ぶっちゃけ、前提条件である研修が最大の関門なので、試験自体はおまけのようなものだと感じています。
出題範囲と割合は、blueprintによると以下の通りです。
- 1.0 Deploying Splunk 5%
- 2.0 Monitoring Console 8%
- 3.0 Access and Roles 8%
- 4.0 Data Collection 15%
- 5.0 Indexing 14%
- 6.0 Search 14%
- 7.0 Configuration Management 8%
- 8.0 Indexer Clustering 18%
- 9.0 Search Head Clustering 10%
新しい機能や仕様の知識を学ぶというよりは、Architect取得までに得た機能や仕様について、より詳細な仕様や実装方式を学習し、使いこなせるかを問われる問題が多いと感じました。
Search Head Cluster(SHC)の仕様やDeployerからApp配信、Indexer ClusterとCluster Managerによるデータの複製やBucket管理、障害時の挙動、Deployment ServerによるForwarderへのApp配信、効率的なサーチの書き方、Job Inspectorによるサーチ処理状況の調査などなど、覚えておくべきことはたくさんあります。Core Consultant LabsやServices Core Implementationで実行した内容が多く含まれますが、そこで触れていない内容も出題されるので、実装や運用経験に基づいた知識も必要と思いました。
その他参考になる資料
その他の公式サイトのドキュメントです。まあCore Consultantを受験する人であれば当然すでに知っているものと思います。
公式ドキュメント
日本語訳されたドキュメントの一覧
各分野の概要
blueprintの章について、個人的な所感などを追記して記載します。
https://www.splunk.com/en_us/pdfs/training/splunk-test-blueprint-consultant.pdf
1.0 Deploying Splunk
SVA(Spluk Validated Architecture)がメインです。SVAとは何か、どう使うべきか、などをざっくり覚えておけば良いと思います。
SVAのtopologyのCategory Code(C1とかM11とか)が何を意味しているのかなども出題されていましたが、SVAの本質的な話ではないので重要ではないように思いました。
Splunk Validated Architectures
https://docs.splunk.com/Documentation/SVA/current/Architectures/About
2.0 Monitoring Console
MCの仕様について深く出題されます。
MCは最初にどうやって各サーバーのロールを判別しているのか(REST APIを使っているらしい)、監視対象に追加するにはどうしたらいいか、ヘルスチェック項目はどのコンフィグで記載されているのか(checklist.conf https://docs.splunk.com/Documentation/Splunk/latest/Admin/Checklistconf )、などを学びます。
3.0 Access and Roles
外部認証がメインです。
LDAP連携するために必要な項目や作業、SAML連携するために修正するべきコンフィグなどを学びます。
4.0 Data Collection
Indexerへのデータ入力種類やパイプラインで実行する処理内容、データインプット時のトラブルシューティングコマンド(btoolの仕様など)を学びます。
https://docs.splunk.com/Documentation/Splunk/latest/Deploy/Datapipeline
5.0 Indexing
インデックスのディレクトリ上の実体やBucketの命名規則、Indexer Cluster環境化におけるBukect遷移における仕様(Indexer Cluster下で複製されたBucketがwarmからcoldになるときにデータはどうなるのか、等)、ParsingやIndexingフェーズにおける処理内容などについて学びます。
6.0 Search
Job Inspectorの仕様、効率的なサーチの書き方、サーチタイプ、サブサーチを使用するときのベストプラクティス(あまり検索負荷の高いサーチは実行しない)などを学びます。
7.0 Configuration Management
Deployment ServerとDeployment Clientを使ったApp配信について学びます。
Deployment Serverを複製するための手順は何か、Deployment Client側で、AppやCheckSumを記憶しているファイルのパスはどこか($SPLUNK_HOME/var/run/serverclass.xml)、などを学びます。
8.0 Indexer Clustering
SHCおよびCluster Managerについて、詳しい仕様や実装手順、障害時の挙動、新Indexerの追加や旧Indexerの削除手順などを学びます。
9.0 Search Head Clustering
SHCおよびDeployerについて、詳しい仕様や実装手順、App配布などの運用、障害時の挙動を学びます。
終わりに
Splunk Core Certified Consultantは取得が非常に大変な資格です。
とにかくラボが大変で、Splunkに対する十分な知識と経験がないと取得できないと思います。
反面、この資格を取得していれば、イチからオンプレ環境下で、Splunk Enterpriseを設計・実装することが可能だと言えると思います。
Splunkプロフェッショナルと名乗ることができる資格であり、知る人からは必ず評価される資格だと思いますので、取得を目指す方は頑張ってくださいl
以上です。