Splunk Core Certified User : Guide de certification 2026

Splunk est la plateforme SIEM (Security Information and Event Management) et d'analyse de données machines la plus utilisée dans les entreprises mondiales. La certification Splunk Core Certified User est le niveau d'entrée dans le parcours de certifications Splunk. Elle valide votre capacité à utiliser l'interface Splunk, à créer des recherches avec SPL (Search Processing Language), à construire des rapports et des tableaux de bord, et à configurer des alertes. Cette certification est indispensable pour les analystes SOC, les ingénieurs de sécurité et les administrateurs système qui utilisent Splunk au quotidien.

Pourquoi se certifier Splunk ?

Splunk est présent dans plus de 90 % des entreprises du Fortune 100. Sa plateforme est utilisée pour :

• La surveillance opérationnelle des systèmes IT (monitoring, alertes, dépannage)
• L'analyse de sécurité (SIEM, threat hunting, investigation forensique)
• L'analyse métier (reporting, tableaux de bord, KPI)
• L'observabilité des applications et des infrastructures DevOps

Les professionnels certifiés Splunk sont très demandés, notamment dans les rôles de SOC Analyst, Security Engineer, IT Operations Analyst et Data Analyst. La certification Core Certified User est accessible à tous et ne nécessite pas d'expérience technique préalable approfondie.

Contenu de l'examen Splunk Core Certified User

Introduction à Splunk (5 %)

Ce premier domaine couvre les concepts fondamentaux de Splunk : qu'est-ce que Splunk, comment les données sont collectées et indexées (Universal Forwarder, Heavy Forwarder), l'architecture Splunk (Search Head, Indexer, Forwarder), les types de licences, et la navigation dans l'interface Splunk Web (Home, Search, Dashboards, Alerts, Reports).

Recherches de base (23 %)

Les recherches Splunk utilisent le langage SPL (Search Processing Language). Pour ce domaine, vous devez maîtriser :

• La structure d'une recherche SPL : index, sourcetype, host, source — les champs par défaut de Splunk
• Les opérateurs de recherche : AND, OR, NOT, les guillemets pour les phrases exactes, les wildcards (*)
• Les sélecteurs de temps : earliest, latest, now(), now-1h, now-7d, relative time modifiers
• La syntaxe de base SPL : pipe (|) pour chaîner les commandes, commandes de base (search, where, table, fields, rename, dedup, sort, head, tail)

Exemple de recherche SPL basique : index=web_logs status=404 | stats count by uri | sort -count | head 10

Utilisation des champs (16 %)

Splunk extrait automatiquement des champs des données indexées. Dans ce domaine :

• Utiliser le sélecteur de champs (Fields Sidebar) pour ajouter/supprimer des champs
• Comprendre les champs par défaut (host, source, sourcetype, _time, _raw) et les champs extraits
• Utiliser les commandes fields, rename, eval pour manipuler les champs
• La commande eval pour créer des champs calculés : | eval taille_mo=taille_octets/1048576
• Rechercher des champs avec des conditions multiples et des comparaisons

Enrichir les données (12 %)

Ce domaine couvre l'enrichissement des résultats de recherche :

• Lookup tables : enrichir les événements avec des données de référence (par exemple, ajouter un nom de pays à une adresse IP)
• Utiliser la commande lookup et configurer des automatic lookups
• La commande inputlookup pour lire directement une table de lookup
• Les champs calculés (calculated fields) via les paramètres de l'interface

Statistiques et graphiques (23 %)

C'est l'un des domaines les plus importants et les plus testés :

• La commande stats : compter (count), sommer (sum), calculer des moyennes (avg), trouver max/min, lister les valeurs uniques (values, list) — | stats count, avg(response_time) by status_code
• La commande chart : créer des graphiques à partir de données tabulaires
• La commande timechart : créer des graphiques temporels — | timechart span=1h count by status
• La commande top : afficher les valeurs les plus fréquentes — | top 10 uri
• La commande rare : afficher les valeurs les moins fréquentes
• La commande geostats : visualiser des données géographiques

Rapports et alertes (10 %)

Ce domaine porte sur la création et la gestion de rapports et d'alertes :

• Sauvegarder une recherche en tant que rapport, définir les permissions de partage
• Planifier l'exécution d'un rapport (scheduled reports)
• Créer des alertes basées sur des conditions (threshold, per result, number of results)
• Configurer les actions d'alerte (email, webhook, script, ajout à une liste de surveillance)

Tableaux de bord (11 %)

Les tableaux de bord (dashboards) permettent de visualiser les données Splunk en temps quasi-réel :

• Créer et modifier des tableaux de bord avec l'éditeur visuel (Dashboard Studio)
• Ajouter des panneaux (panels) : graphiques, tables, jauges, chiffres uniques, cartes
• Utiliser les tokens pour créer des tableaux de bord interactifs avec des filtres dynamiques
• Gérer les permissions des tableaux de bord et les partager avec des équipes

Commandes SPL essentielles à maîtriser

Voici les commandes SPL les plus importantes pour l'examen :

• search : filtrer les événements (implicite en début de recherche)
• table : afficher seulement les champs spécifiés en colonnes
• stats count by champ : compter les événements groupés par un champ
• timechart : représentation temporelle des statistiques
• eval : créer ou modifier des champs avec des expressions
• where : filtrer avec des expressions (différent de search)
• rex : extraire des champs avec des expressions régulières
• transaction : regrouper des événements liés en une transaction
• join : combiner des résultats de deux recherches
• append : ajouter des résultats d'une sous-recherche

Ressources de préparation

Formation officielle Splunk (gratuite)

Splunk propose des cours e-learning gratuits sur sa plateforme éducative :

• Splunk Fundamentals 1 : cours officiel gratuit, couvre tout le contenu du Core Certified User
• Splunk Virtual Lab : environnement Splunk virtuel pour pratiquer les recherches sans installation
• Accédez à ces ressources sur education.splunk.com

Ressources complémentaires

• Splunk Documentation (docs.splunk.com) : documentation officielle complète, notamment la référence SPL
• Splunk Community (community.splunk.com) : forum actif pour poser des questions et trouver des exemples SPL
• Udemy Splunk Courses : plusieurs instructeurs proposent des cours pratiques sur Splunk
• TryHackMe Splunk Rooms : labs pratiques orientés sécurité avec Splunk

Après le Core Certified User : la suite du parcours Splunk

• Splunk Core Certified Power User : requêtes avancées, knowledge objects, regex, macros
• Splunk Enterprise Certified Admin : administration d'instances Splunk
• Splunk SIEM Expert : spécialisation dans l'utilisation de Splunk pour la sécurité
• Splunk Enterprise Security Certified Admin : configuration et administration de Splunk ES (la solution SIEM premium)