Trucs et astuces

Formation et certification : un instructeur Splunk dévoile ses secrets !

Vous êtes un expert de Splunk et vous voulez un diplôme qui le reconnaisse ? Vous vous posez mille questions : faudra-t’il retourner sur les bancs de l’école, bachoter pendant des mois ou même sera-t’il possible de tricher ? Voici toutes les réponses aux questions que vous vous posez.

Le programme de certification Splunk

Laurent DongradiNotre programme de formation a été créé pour former les candidats à leur poste actuel, ou pour une fonction à laquelle ils aspirent en tant que professionnel, afin de mieux répondre aux besoins de leur organisation.

Notre but est de certifier les professionnels que l’industrie reconnaît comme experts dans leur domaines de compétences.

Les programmes de certification et de formation Learning Paths et Certification Tracks sont détaillés sur le site de la formation, et décrits en détail sur le carnet du candidat. Mais en tant que formateur depuis 3 années, j’ai glané quelques informations qui pourraient vous intéresser : 

Peut-on tricher ?

Non.

Sur le sujet, nous sommes assez clairs ! Il est interdit de tricher, d’envoyer sa sœur jumelle à l’examen, d’apporter une antisèche (40 ans plus tôt on disait une sèche), d’avoir des écouteurs pendant l’épreuve … Je vous invite à voir plus bas dans cet article les conditions de l’épreuve Online Proctored.

Peut-on s’entraîner ? Si oui comment ?

Bien sûr qu’on peut, et même qu’on DOIT s'entraîner avant l’épreuve !

Pour cela, il est conseillé de mettre les choses en pratique : lancer des recherches multiples et variées, se reporter aux diapos du cours, installer et réinstaller Splunk (pour les certifications Admin et Architecte), etc.

Mais où trouver les ressources et questions pour s'entraîner ?

Tout d’abord, sachez qu'il ne vous sera pas posé de questions sur "Buttercup Games". Cette société écran qui vend des jeux vidéo depuis des années, des T-shirts de poney et des mugs rigolos … n’existe pas ! Les données que vous avez utilisées pendant les formations sont générées à la volée. Vous pouvez donc :

  • Utiliser une partie de ces données, statiques, en suivant ce lien : Tutoriel -  échantillon de données BCG.
  • Apprendre à utiliser l’add-on SA-eventgen, disponible sur splunkbase. On en explique la configuration et l’utilisation dans la formation Building Splunk Apps

Pour faire simple : 

  • Prenez le log de l’un de vos serveurs, sur une période définie, et rejouez-le à l’infini (mode replay) ;
  • Ou utilisez une ligne unique remplie de variables que vous modifiez aléatoirement, ou d’après un fichier (adresses IP, liste d’utilisateurs, codes d’erreur …) avec des timestamps formatés à votre guise.

 

Vous trouverez quelques exemples de questions sur ce document : Splunk-Certification-Exams-Study-Guide.pdf. Notez bien que tout autre organisme que Splunk prétendant vous fournir les questions officielles est dans l’illégalité. Mais surtout, n'ayez aucune crainte ! Personne ne vous demande de répondre correctement à 100% des questions. Quand vous serez certifié, personne ne pourra vérifier si c’était pour 70, 72 ou 83% de bonnes réponses ! Et il n’y a pas de mention comme au bac.

Rappel des différentes certifications

Au fil des formations présentes sur le catalogue, les élèves acquièrent des compétences orientées sur :

  • L’utilisation de Splunk ;
  • Le développement de tableaux de bord et d’applications ;
  • L’administration de la solution ;
  • Une spécialisation dans un domaine spécifique.

Depuis novembre 2019, il a été décidé d’assouplir les conditions d’accès à la certification. On retiendra que les formations Fundamentals 1 et 2 ne sont jamais requises pour quelque cursus de certification que ce soit, alors que les deux formations System Admin et Data Admin sont au cœur de toute certification avancée (à moins d’avoir concentré ses efforts sur Cloud Admin). 

Une formation est validée si l’élève inscrit :

  • S’est présenté à l’heure chaque jour ;
  • A été assidu à toutes les leçons ;
  • A fait tous les TP (Travaux Pratiques : Labs).

 

Un certificat de complétion est envoyé par email dans les heures qui suivent le dernier jour de formation.

Une formation est invalidée si l’élève :

  • A manqué une partie des leçons sans justification, et n’a pas récupéré son retard ;
  • N’a pas fait les TP : créer X rapport, Y tableaux de bord, lancé Z recherches … ;
  • A mal fait les TP : le formateur dispose d’une application lui permettant de traquer l’avancement et la qualité des tâches remplies par les élèves.

Secret numéro un : dans tous les cas, participer à l’oral ou à l’écrit, remercier le formateur, être poli (lui dire bonjour et au revoir) et surtout rire à ses blagues ne peut que vous faire gagner des points !  Tout cela est subjectif, bien sûr, et dépend du formateur.

Comment réussir la formation Splunk Enterprise Practical Lab (en 24h chrono)

Cette épreuve à mi-chemin entre la formation et la certification est l’une des plus difficiles pour les élèves, et l’une des plus agréables pour les formateurs.

Après 1h d’explication en vidéo, le formateur vous donnera la liste des tâches à accomplir. Vous aurez pour cela accès à une dizaine de machines, avec un OS et un compte sudoer, qui tournent sous Linux. 

Et je ne dévoile rien en vous disant que vous allez devoir installer Splunk, des Search Heads, des Indexers, des Forwarders … et qu’il faudra les configurer, indexer les données que l’on vous fournira, les traiter et les mettre à disposition du client (en l'occurence le formateur) sous forme de rapports et de tableaux de bord. Et tout cela doit respecter les bonnes pratiques.

Vous trouverez le détail de ces bonnes pratiques dans le contenu des cours Fundamentals 1, 2, 3, Creating Dashboards, Advanced Search and Reporting, System Admin, Data Admin Cloud Admin … et éventuellement Architecting et Troubleshooting.

Secret numéro deux :  si vous ne comptez pas respecter les bonnes pratiques, vous avez intérêt à le justifier auprès du formateur/examinateur en lui fournissant un bon rapport d’installation à la fin de l’épreuve … soit 24h après avoir été accueilli ! Ce document ne vous est pas demandé, mais n’est-il pas normal d’agir en professionnel quand on procède à une installation de ce niveau ?

Au fait, pourquoi les formateurs trouvent cette formation agréable ? Tout simplement parce que ce sont les élèves qui vont le plus travailler, et qu’au terme des 24h, quelques scripts permettent facilement de les évaluer … Bon, ce n’est pas de tout repos quand même car il faudra se montrer disponible en cas de problème ou de question impromptue (mais on a le droit de passer une nuit de huit heures sans lire ses emails).

Secret numéro trois : n’hésitez pas à demander des renseignements. Même si ce Lab se fait Livre Ouvert, vous n’êtes pas obligé de tout deviner.

La certification : garante de la validation des acquis

Secret numéro quatre : pour avoir passé la plupart de ces certifications dans l’une ou l’autre des deux dernières versions de Splunk, je peux vous donner mon avis personnel : les certifications de base (Core, Core Power et Core Advanced Power) sont plus difficiles que les autres.

Elles requièrent en effet une maîtrise assez poussée de la syntaxe du langage SPL, ainsi que des options de création des Knowledge Objects et des visualisations, et c’est assez normal. En effet comme elles n’obligent pas les candidats à avoir suivi les formations de base, nous devons pouvoir vérifier par le test l’étendue de leurs connaissances et compétences.

A l’inverse, les certifications avancées reposent sur des formations obligatoires au cours desquelles les élèves ont validé leurs connaissances par l’assiduité et la pratique. De plus, certains concepts sont repris et répétés dans plusieurs de ces formations. Par conséquent, les réponses aux QCM m’ont semblées plus facile à cerner pour les questions d’architecture et configuration que pour des questions sur les commandes de transformation ou de streaming des tâches de recherche.

Comme, désormais, les certifications se font sous l’égide d’une société spécialisée dans ce domaine, et que les conditions drastiques sous lesquelles les examens se passent sont leur spécialité, on peut considérer que les certifications Splunk garantissent un certain niveau de compétences pour les lauréats. Et pouvoir ajouter un badge digital à sa signature ou à son CV associé à son email professionnel et/ou personnel fait toujours son petit effet...

Secret numéro cinq : les épreuves se passent toutes en anglais ou en japonais, pas en français.

Proctored Exam : un examen surveillé

Lorsque l’examen se passe dans un centre agréé par notre partenaire, nul ne se pose la question de la surveillance à laquelle les candidats sont soumis, de l’interdiction d’avoir un téléphone portable, des notes, ou de sortir ses feuilles de brouillon à la fin de l’épreuve. Cela va de soi.

Il est aussi possible de passer toute la gamme des examens de certification de Splunk à distance, via Internet. Mais alors, comment peut-on garantir les mêmes conditions ? Par une surveillance centralisée, toutes ces épreuves se faisant avec Livre Fermé.

Lors de l’inscription à un examen de certification Splunk auprès de notre partenaire, il est possible d’opter pour une épreuve à domicile ou au travail. Il vous sera demandé de valider le poste depuis lequel vous comptez passer cette épreuve et de lancer quelques tests en amont.

Autant le dire tout de suite : passer un examen surveillé à distance ne s’improvise pas ! Vous devez pouvoir garantir votre identité, le respect de la propriété intellectuelle des supports mis à votre disposition, et prémunir votre environnement contre toute possibilité de triche.

A screenshot of a cell phone

Description automatically generated

Il vous faudra un PC (Windows ou MacOS), avec micro et caméra ! En effet, vous serez filmé tout au long de l’épreuve, et le son sera enregistré, afin de garantir votre isolement. Donc, il faudra trouver une pièce (avec des murs) dont portes et fenêtres seront fermées, et sans possibilité de dissimuler un ami qui vous souffle les réponses.

Quand à votre ordinateur, il nécessitera l’installation temporaire d’une application qui verrouille tous les périphériques inutiles, en particulier les écrans secondaires. De fait, il faudra même les sortir de la pièce, ou à tout le moins du champ de vision du candidat.

Mais, me direz-vous, comment tout cela peut-il être vérifié ? Eh bien, c’est précisément à des fins de vérification qu’il vous sera demandé de vous connecter 30 minutes avant l’épreuve, afin qu’un technicien fasse le tour de votre pièce avec vous. Pour cela, si votre webcam est fixe, il vous sera demandé d’ouvrir la caméra de votre téléphone portable et de vous laisser guider pour regarder tel ou tel recoin obscur de votre bureau.

Alors, oui, ça peut paraître ridicule d’avoir à déplacer tel paravent, ou d’ouvrir tel placard ; effectivement c’est plutôt long, et assez intrusif ; mais vous pouvez bien entendu préférer vous déplacer dans un centre d’examen.

La bonne nouvelle, c’est qu’en suivant le soleil, il est possible de passer des examens distants à presque toute heure du jour ou de la nuit, et ce dans l’heure qui suit votre inscription (et la validation de votre environnement).

Le service Splunk Education se tient à votre disposition pour toute question supplémentaire et vous accompagne tout au long de votre progression dans l’apprentissage de la solution Splunk.

Et comme je me sens d’humeur généreuse, voici quelques ressources utiles :

Bon apprentissage !

Laurent Dongradi
Posted by

Laurent Dongradi

Depuis tout petit déjà, en écoutant certains profs, je me disais : "Ca serait plus compréhensible dit comme ça." Après 11 ans dans la formation chez un éditeur software, j'ai approché le monde du hardware comme avant-vente. 4 ans plus tard, je suis revenu faire de la formation chez un éditeur software."
Sinon, en vacances, je vais donner un coup de main dans un Ashram à Katmandou. Mais surtout, j'y donne des cours de français et d'informatique aux enfants.