はじめに

Splunk Enterprise Certified Admin試験に合格したので、その備忘録としてこのブログを書いておきます。

Splunk Enterprise Certified Admin

Splunk Enterpriseでの基本的なAdmin業務をするために必要な知識があるかを確認するための資格です。
受験した感覚としてはこれに合格すれば１台構成のSplunkをAdminとして管理するくらいの知識はあると言えるのではないかな、という印象です。

試験の詳細やOnline Courseについては以下の公式ページをみるようにしてください。

https://www.splunk.com/ja_jp/training/certification-track/splunk-enterprise-certified-admin.html

勉強方法

Splunkが提供している有償のトレーニングを受けるのが一番確実だと思います。
ただし公式のトレーニングだと演習が不足するためUdemyなどの外部サービスを使って問題を解き、本番に備えておくと良いと思います。

感想

基本的には設定について知る上ではいい試験だと思います。
ただ実際に運用を考慮するとこの資格では足りないところがまだまだあるのではないかと思われますので、興味がある人は上位コースのArchitectを取得することをお勧めいたします。

これはSplunkという製品に対しての感想となるのですが、ForwarderとIndexerの間での設定項目が多く、クラウド環境でアプリケーションが稼働する現代的なアーキテクチャとは相性が悪いという印象を受けました。
増減するインスタンスやPodを相手にしている場合にはいちいちforwardingの設定をして、コネクションを確立するというやり方だとログやメトリクスデータが欠損する可能性があります。その場合はよりクラウドネイティブなソリューションを使ったほうがいいのではないかなと思えます。

おそらくその辺りはEnterpriseをそのまま使うのではなく、Observilityの製品(Open Telemetry)やfluentbit/fluentdとHTTP Event Collectorをくみあわせた形でのソリューションになってくるのではないかと思われます。

興味がある人はそちらの方向についても探って見てもいいのではないでしょうか。

https://www.splunk.com/ja_jp/products/observability.html