通过flume-ng收集日志

  最近接到一个日志收集的需求,经过测试和修改,目前基本实现想要的功能,记录一下。

先说一下日志收集的需求,每隔1小时收集一次log日志,按照类别生成不同的lzo压缩文件,而且生成的日志要放在到前一个小时的目录中。 拿到这个需求先想到使用flume来进行日志收集,再用Interceptor进行过滤, 可以通过自带的RegexFilteringInterceptor进行过滤,不过要处理的日志列数太多,写成正则表达式的话比较麻烦。于是乎就干脆自己写一个Interceptor好了,也比较利于以后的扩展。

首先下载flume(老版本下还要通过zookeeper进行),在最新的flume-ng下可以不依赖zookeeper,我使用的是flume1.5.0。

下载完之后,先把hadoop-lzo包拷贝到$FLUME_HOME/lib中,或者添加到flume-env.sh脚本中FLUME_CLASSPATH。

  如果使用memory channel时, 遇到OOM的问题,还需要增加flume启动内存,具体做法是在flume-env.sh中扩大jvm。例如

  JAVA_OPTS="-Xms1500m -Xmx2000m -Dcom.sun.management.jmxremote"

请注意:如果要使用flume-env.sh这种方式的话,要把flume-ng agent --conf  conf 命令中引用的conf路径写全,网上有直接写成flume-ng agent --conf  conf 这样的,是不起作用的。 要写--conf conf的全路径。比如我的路径是/home/max/flume/conf/, 那么就要写成

flume-ng agent --conf /home/max/flume/conf/

  编写Intercepter

import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Iterator;
import java.util.List;
import java.util.Map;

import org.apache.flume.Context;
import org.apache.flume.Event;
import org.apache.flume.interceptor.Interceptor;

public class PlatformInterceptor implements Interceptor {

	private final String header;
	private String preHour;
	private String finalName;
	private String platform;

	private PlatformInterceptor(String header,String preHour,String finalName) {
		this.header = header;
		this.preHour = preHour;
		this.finalName = finalName;
	}

	@Override
	public void close() {

	}

	@Override
	public void initialize() {
	}

	private String[] split(String s) {
		return s.split("\t", -1); //一定要这么写-1,否则如果最后以\t结尾而又是空字段的话, java会split出错误的长度
	}

	@Override
	public Event intercept(Event event) {

		String line = new String(event.getBody());
		Map<String, String> headers = event.getHeaders();
		String[] arrLine = split(line);
		if (arrLine.length != 20) {
			return null;
		} else {
			headers.put("platform", arrLine[3]); //第三列为业务类别
			headers.put("preHour", preHour);
			headers.put("finalName", finalName);
			return event;
		}
	}

	@Override
	public List<Event> intercept(List<Event> events) {
		//此处生成前一个小时的字符串格式
		Calendar cal = Calendar.getInstance();
		cal.add(Calendar.HOUR_OF_DAY, -1);
		SimpleDateFormat formatter = new SimpleDateFormat("yyyy/MM/dd/HH");
		preHour = formatter.format(cal.getTime());		

		formatter = new SimpleDateFormat("yyyyMMddHH");
		finalName = formatter.format(cal.getTime());

		for (Iterator<Event> iterator = events.iterator(); iterator.hasNext();) {
			Event next = intercept(iterator.next());

			if (next == null) {
				iterator.remove();

			}

		}

		return events;
	}

	public static class Builder implements Interceptor.Builder {
		private String header = "platform";

		private String preHour = "";
		private String finalName = "";
		@Override
		public void configure(Context context) {
			header = context.getString("platform", "DEFAULT_PLATFORM");
		}

		@Override
		public Interceptor build() {
			return new PlatformInterceptor(header,preHour,finalName);
		}		

	}	

}

  

再写flume执行所依赖的配置文件:

#agent1
agent1.sources=source1
agent1.sinks=sink1
agent1.channels=channel1

#source1
agent1.sources.source1.type=spooldir
#agent1.sources.source1.type=regex_extractor
agent1.sources.source1.spoolDir=/hadoop/flume/flumelog  #获取日志的目录
agent1.sources.source1.channels=channel1
#agent1.sources.source1.deletePolicy=immediate  #立即删除.COMPELETED文件

agent1.sources.source1.fileHeader=false
agent1.sources.source1.interceptors=platform

#agent1.sources.source1.interceptors.a1.type=regex_extractor #正则interceptors
#agent1.sources.source1.interceptors.a1.regex=(\\S+)	(\\S+) # 此处为正则表达式的内容,有多少列写成多少列。(我是这种笨办法)
#agent1.sources.source1.interceptors.a1.serializers=s1 s2
#agent1.sources.source1.interceptors.a1.serializers.s1.name=key1
#agent1.sources.source1.interceptors.a1.serializers.s2.name=key2

#agent1.sources.source1.interceptors.a1.platform=a2
#agent1.sources.source1.interceptors.a1.key=a1

#agent1.sources.source1.interceptors.a2.platform=a2
#agent1.sources.source1.interceptors.a2.key=a2

#agent1.sources.source1.interceptors.a1.value=a1
#agent1.sources.source1.interceptors.PlatformInterceptor2.type=PlatformInterceptor2$Builder

#sink1
agent1.sinks.sink1.type=hdfs
agent1.sinks.sink1.channel=channel1
agent1.sinks.sink1.hdfs.path=/user/max/flume-input/%{preHour} #生成前一个小时目录
agent1.sinks.sink1.hdfs.fileType=CompressedStream

agent1.sinks.sink1.hdfs.rollInterval=0
#131072000   128M   67108864 64M
#393216000   128*3  压缩比大概是1:3
#1572864000  128*3*4
agent1.sinks.sink1.hdfs.rollSize=1572864000
agent1.sinks.sink1.hdfs.rollCount=0
agent1.sinks.sink1.hdfs.idleTimeout=1800 # 如果没有event可写了,要等待这个时间之后才会关闭channel,即把.tmp 文件名修改成最终的文件名

agent1.sinks.sink1.hdfs.codeC=LzopCodec

agent1.sinks.sink1.hdfs.filePrefix=boo_%{platform}_%{finalName}_40.seq

agent1.sinks.sink1.hdfs.useLocalTimeStamp = true
agent1.sinks.sink1.hdfs.threadsPoolSize=30

agent1.channels.channel1.type=memory
agent1.channels.channel1.capacity = 1000000
agent1.channels.channel1.transactionCapacity = 1000000

  

编写sh

flume-ng agent --conf /hadoop/flume/flume/conf -n agent1 -C /home/max/PlatformInterceptor-0.0.1-SNAPSHOT.jar -f /hadoop/flume/project/new -Dflume.root.logger=INFO,console

参考:

http://flume.apache.org/FlumeUserGuide.html

如有错误之处,请指正,不胜感激。

时间: 2024-10-11 22:38:42

通过flume-ng收集日志的相关文章

Flume 实时收集日志

在分布式系统中,各个机器都有程序运行的本地日志,有时为了分析需求,不得不这些分散的日志汇总需求,相信很多人会选择 Rsync,Scp 之类, 但它们的实时性不强,而且也会带来名字冲突的问题.扩展性差强人意,一点也不优雅. 现实中,我们就碰到了这样的需求:实时汇总线上多台服务器的 Nginx 日志.Flume 立功了. Flume 简介 F lume是一个分布式,可靠高效的日志收集系统,它允许用户自定义数据传输模型,因此可扩展性也强.也有较强的容错和恢复机制. 以下是几个重要的概念 Event:E

Flume NG源码分析(五)使用ThriftSource通过RPC方式收集日志

上一篇说了利用ExecSource从本地日志文件异步的收集日志,这篇说说采用RPC方式同步收集日志的方式.笔者对Thrift比较熟悉,所以用ThriftSource来介绍RPC的日志收集方式. 整体的结构图如下: 1. ThriftSource包含了一个Thrift Server,以及一个Thrift Service服务的实现.这里的Thrift Service是由ThriftSourceProtocol定义 2. 应用程序调用Thrift Service的客户端,以RPC的方式将日志发送到Th

分布式实时日志系统(二) 环境搭建之 flume 集群搭建/flume ng资料

最近公司业务数据量越来越大,以前的基于消息队列的日志系统越来越难以满足目前的业务量,表现为消息积压,日志延迟,日志存储日期过短,所以,我们开始着手要重新设计这块,业界已经有了比较成熟的流程,即基于流式处理,采用 flume 收集日志,发送到 kafka 队列做缓冲,storm 分布式实时框架进行消费处理,短期数据落地到 hbase.mongo中,长期数据进入 hadoop 中存储. 接下来打算将这其间所遇到的问题.学习到的知识记录整理下,作为备忘,作为分享,带给需要的人. 学习flume ng的

Flume可分布式日志收集系统

Flume 1. 前言 flume是由cloudera软件公司产出的可分布式日志收集系统,后与2009年被捐赠了apache软件基金会,为hadoop相关组件之一.尤其近几年随着flume的不断被完善以及升级版本的逐一推出,特别是flume-ng;同时flume内部的各种组件不断丰富,用户在开发的过程中使用的便利性得到很大的改善,现已成为apache top项目之一. 2. 概述 2.1. 什么是flume?http://flume.apache.org/index.html Apache Fl

flume集群日志收集

一.Flume简介 Flume是一个分布式的.高可用的海量日志收集.聚合和传输日志收集系统,支持在日志系统中定制各类数据发送方(如:Kafka,HDFS等),便于收集数据.其核心为agent,agent是一个java进程,运行在日志收集节点. agent里面包含3个核心组件:source.channel.sink.  source组件是专用于收集日志的,可以处理各种类型各种格式的日志数据,包括avro.thrift.exec.jms.spooling directory.netcat.seque

flume 收集日志,写入hdfs

首先安装flume: 建议和Hadoop保持统一用户来安装Hadoop,flume 本次我采用Hadoop用户安装flume http://douya.blog.51cto.com/6173221/1860390 开始配置: 1,配置文件编写: vim  flume_hdfs.conf # Define a memory channel called ch1 on agent1 agent1.channels.ch1.type = memory agent1.channels.ch1.capac

基于Flume的美团日志收集系统(一)架构和设计【转】

美团的日志收集系统负责美团的所有业务日志的收集,并分别给Hadoop平台提供离线数据和Storm平台提供实时数据流.美团的日志收集系统基于Flume设计和搭建而成. <基于Flume的美团日志收集系统>将分两部分给读者呈现美团日志收集系统的架构设计和实战经验. 第一部分架构和设计,将主要着眼于日志收集系统整体的架构设计,以及为什么要做这样的设计. 第二部分改进和优化,将主要着眼于实际部署和使用过程中遇到的问题,对Flume做的功能修改和优化等. 1 日志收集系统简介 日志收集是大数据的基石.

基于Flume的美团日志收集系统(一)架构和设计

来自:美团技术博客 http://tech.meituan.com/mt-log-system-arch.html 美团的日志收集系统负责美团的所有业务日志的收集,并分别给Hadoop平台提供离线数据和Storm平台提供实时数据流.美团的日志收集系统基于Flume设计和搭建而成. <基于Flume的美团日志收集系统>将分两部分给读者呈现美团日志收集系统的架构设计和实战经验. 第一部分架构和设计,将主要着眼于日志收集系统整体的架构设计,以及为什么要做这样的设计. 第二部分改进和优化,将主要着眼于

基于Flume的美团日志收集系统(二)改进和优化

问题导读: 1.Flume-NG与Scribe对比,Flume-NG的优势在什么地方? 2.架构设计考虑需要考虑什么问题? 3.Agent死机该如何解决? 4.Collector死机是否会有影响? 5.Flume-NG可靠性(reliability)方面做了哪些措施? 美团的日志收集系统负责美团的所有业务日志的收集,并分别给Hadoop平台提供离线数据和Storm平台提供实时数据流.美团的日志收集系统基于Flume设计和搭建而成. <基于Flume的美团日志收集系统>将分两部分给读者呈现美团日

Flume NG 学习笔记(一)简介

一.简介 Flume是一个分布式.可靠.高可用的海量日志聚合系统,支持在系统中定制各类数据发送方,用于收集数据:同时,Flume提供对数据的简单处理,并写到各种数据接收方的能力. Flume在0.9.x and 1.x之间有较大的架构调整,1.x版本之后的改称Flume NG(next generation),0.9.x的称为Flume OG(originalgeneration). 对于OG版本, Flume NG (1.x.x)的主要变化如下: 1.sources和sinks 使用chann