Flume Source对多行的处理

最新推荐文章于 2023-09-13 16:16:26 发布
最新推荐文章于 2023-09-13 16:16:26 发布
阅读量5.5k 收藏 2
点赞数
分类专栏: Flume

ExecSource会readLine()读取日志中的每一行,把其作为每一个flume event的body放进去,这对于大部分这种每行就可以结束的日志记录,是完全可以的:

1
2
 
2016-03-18 17:53:48,374 INFO namenode.FSNamesystem (FSNamesystem.java:listCorruptFileBlocks(7217)) - there are no corrupt file blocks.
2016-03-18 17:53:48,278 INFO namenode.FSNamesystem (FSNamesystem.java:listCorruptFileBlocks(7217)) - there are no corrupt file blocks.

但是,对于有stacktraceERROR日志记录,如果把一行的内容当作一个flume event会有很大的问题,直观上来看,肯定需要把若干行看作是一个flume event,比如下面这样的日志记录,要作为一个flume event,而不是27个(一共27行):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
 
2016-03-18 17:53:40,278 ERROR [HiveServer2-Handler-Pool: Thread-26]: Error occurred during processing of message.
java.lang.RuntimeException: org.apache.thrift.transport.TTransportException: java.net.SocketException: Connection reset
	at org.apache.thrift.transport.TSaslServerTransport$Factory.getTransport(TSaslServerTransport.java:219)
	at org.apache.thrift.server.TThreadPoolServer$WorkerProcess.run(TThreadPoolServer.java:268)
	at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
	at java.lang.Thread.run(Thread.java:745)
Caused by: org.apache.thrift.transport.TTransportException: java.net.SocketException: Connection reset
	at org.apache.thrift.transport.TIOStreamTransport.read(TIOStreamTransport.java:129)
	at org.apache.thrift.transport.TTransport.readAll(TTransport.java:86)
	at org.apache.thrift.transport.TSaslTransport.receiveSaslMessage(TSaslTransport.java:178)
	at org.apache.thrift.transport.TSaslServerTransport.handleSaslStartMessage(TSaslServerTransport.java:125)
	at org.apache.thrift.transport.TSaslTransport.open(TSaslTransport.java:271)
	at org.apache.thrift.transport.TSaslServerTransport.open(TSaslServerTransport.java:41)
	at org.apache.thrift.transport.TSaslServerTransport$Factory.getTransport(TSaslServerTransport.java:216)
	... 4 more
Caused by: java.net.SocketException: Connection reset
	at java.net.SocketInputStream.read(SocketInputStream.java:196)
	at java.net.SocketInputStream.read(SocketInputStream.java:122)
	at java.io.BufferedInputStream.fill(BufferedInputStream.java:235)
	at java.io.BufferedInputStream.read1(BufferedInputStream.java:275)
	at java.io.BufferedInputStream.read(BufferedInputStream.java:334)
	at org.apache.thrift.transport.TIOStreamTransport.read(TIOStreamTransport.java:127)
	... 10 more

我这里的实现方式是:识别每行的开头部分,如果满足某种条件,就当作一条日志,否则,视作是上一条的日志的一部分。

比如:

对于上面举的例子来说(即符合标准log4j的日志),如果每一行开头满足下面这条正则表达式:

1
 
\s?\d\d\d\d-\d\d-\d\d\s\d\d:\d\d:\d\d,\d\d\d

就当作一条新的日志,如果不满足,就说明该行内容是上一条日志(已规定格式开头的那条)的一部分。

当然,我增加了可以自定义配置以哪种方式开头视为一条日志的regex配置,可以对不通的source进行不通的配置,已满足要求。

有了这样的约束,就可以写出将某些多行看作一个flume event的ExecSource,我把它开源到了github上,如有兴趣,欢迎前去试用,如有任何建议,欢迎提出与指正:MultiLineExecSource

1
 
github.com/qwurey/flume-source-multiline

该版本基于flume-ng-core 1.6.0

Flume Source原理与代码实例讲解
AI天才研究院
06-02 987
Flume Source原理与代码实例讲解 1.背景介绍 Apache Flume是一个分布式、可靠且高可用的海量日志采集、聚合和传输的系统,它是Apache软件基金会的一个顶级项目。在大数据时代,日志数据作为企业的重要资产,如何高效地收集和传输海量日志数据成为了一个迫切需要解决的
flume taildir source 采集合并日志
花菜回锅肉的博客
01-09 610
taildir source 可以监控一批文件,实时采集信息,且支持断点续传(agent重启后不会重复采集)该场景下,同时监控两个日志文件,一个是docker容器日志,一个是MySQL的系统日志1、使用file_roll sink,重启flume 会新创建一个储存文件,不管source是 exec 还是taildir2、taildir断点续传只是在内容上接续,但不是在原文件中以上是个人实验所得,若有不合适地方,欢迎大家指正。
Flume 自定义拦截器 多行读取日志+截断
02-27 1639
前言: Flume百度定义如下: Flume是Cloudera提供的一个高可用的,高可靠的,分布式的海量日志采集、聚合和传输的系统,Flume支持在日志系统中定制各类数据发送方,用于收集数据;同时,Flume提供对数据进行简单处理,并写到各种数据接受方(可定制)的能力。 搭建并使用flume不是特别难,而且网上也有技术文章分享,我不再赘述了。本文主要建立在已经搭建并使用flum...
flume 自定义拦截器实现多行读取日志
Nougats的博客
05-04 7477
需求给定一个日志文件,把日志中DEBUG、INFO、WARN、ERROR日志按照不同文件夹、日志日期进行区分。输出到HDFS中 例:2016-07-08 09:33:52 INFO 日志,需要放在hdfs://flume/2016-07-08/INFO文件夹下。解决办法1. RegexExtractorInterceptorMillisSerializer
flume spoolDirectorySource:自定义Deserialize读取多行;彻底解决File has changed size since being read;数据下发存hive
qq_26884367的博客
10-27 1186
flume spoolDirectorySource中的File has changed size since being read与 File has been modified since being read解决;includepath巧用;自定义开发Deserializer读取多行再下发event;flume采集数据存到hive
Flume<自定义Source和拦截器实现抓取异常多行日志>
Gpwner的博客
05-06 4734
假设现在有一个日志文件test.log,文件中的内容如下: 现在的需求是需要将日志通过Flume收集上来,在HDFS进行分区,比如 2016-07-08/INFO 2016-07-08/DEBUG 2016-07-08/WARN 2016-07-08/ERROR方法一:自定义Source在GitHub上看到有人自定义了Source,其核心思想是:如果当前有两行记录,如果两行记录都是“正常”
flume 配置 多Source汇总数据到单Flume
小哇
01-13 746
1) 案例需求: hadoop103上的Flume-1监控文件/opt/module/group.log, hadoop102上的Flume-2监控某一个端口的数据流, Flume-1与Flume-2将数据发送给hadoop104上的Flume-3,Flume-3将最终数据打印到控制台。 2)需求分析: 0.准备工作 在hadoop102、hadoop103以及hadoop104的flume...
flume拦截器及问题解决
ty_laurel的博客
01-17 8287
概述 Flume 除了主要的三大组件 Source、Channel和 Sink,还有一些其他灵活的组件,如拦截器、SourceRunner运行器、Channel选择器和Sink处理器等。 组件框架图 今天主要来看看拦截器,先看下组件框架流程图,熟悉了大致框架流程学习起来必然会更加轻松:  接收事件根据配置选择对应的Source运行器(EventDrivenSou
Flume tailDir合并异常行处理
shengpli′s blog
05-21 2260
一、前言前段时间上线了Flume+Kafka+ELK日志处理系统,需要在flume收集端实现合并异常行的功能,logstash有合并异常行的功能,但不适合公司的业务场景。 二、实现目前采用的flume1.7.0 tailDir source收集日志,基本思想是在读取一条event时,利用正则判断是不是异常行,如果是则合并event,不是则发送之前合并的event,并缓存当前这条event三、代码这
【Flink实战】Flink自定义的Source 数据源案例-并行度调整结合WebUI
大数据小禅的博客
09-13 1834
Flink的并行度是指在Flink应用程序中并行执行任务的级别或程度。它决定了任务在Flink集群中的并发执行程度,即任务被划分成多少个并行的子任务。在Flink中,可以通过设置并行度来控制任务的并行执行。并行度是根据数据或计算的特性来确定的,可以根据任务的特点和所需的处理能力进行调优。将一个任务的并行度设置为N意味着将该任务分成N个并行的子任务,这些子任务可以在Flink集群的不同节点上同时执行。Flink会根据配置的并行度自动对任务进行数据切分和任务调度,以实现高效的并行处理
flume自定义反序列化器deserializer
weixin_30408739的博客
07-25 539
需求背景:   在利用flume进行日志收集的时候,错误信息会将堆栈多行打印,需要将多行信息合并成一行,包装成一个event进行传输。 解决思路:    解决上述需求可以通过自定义拦截器和自定义反序列化器来实现。网上关于自定义拦截器的资料比较多,但考虑到拦截器的定位和使用场景,拦截器不应用于多个event拆分组合,并若flume有并发处理的话,不能保证读取event是顺序的。查阅资料发现,通...
基于Flume的美团日志收集系统(二)改进和优化
美团技术团队
12-09 1103
在《基于Flume的美团日志收集系统(一)架构和设计》中,我们详述了基于Flume的美团日志收集系统的架构设计,以及为什么做这样的设计。在本节中,我们将会讲述在实际部署和使用过程中遇到的问题,对Flume的功能改进和对系统做的优化。 1 Flume的问题总结 在Flume的使用过程中,遇到的主要问题如下: a. Channel“水土不服”:使用固定大小的MemoryChannel在...
Flume写数据换行
侯上校
05-18 1186
Flume写入HDFS的时候会自动换行问题, 项目要求写入HDFS中数据不需要换行, 查看源码及配置如下: BodyTextEventSerializer.java @Override public void write(Event e) throws IOException { out.write(e.getBody()); if (appendNewlin...
日志系统之扩展Flume-LineDeserializer
VinoYang的专栏
06-22 8145
本文简单介绍了Flume agent的LineDeserializer的机制以及它在收集多行形式的日志上的缺陷,并对其进行了扩展。
多行日志合并处理的内外存方法
chianju1936的博客
09-24 279
上一讲中,我们介绍了如何用SPL将一行日志结构化为一条记录,今天则要说一下多行日志对应一条记录的情况,我们称之为不定行日志。 事实上,集算器自己的输出日志就是这种不定行日志,我们来看一下集算器节点机下的一个日志文件rqlog. log,同样摘录两段日志: [2018-05-14 09...
flumesource 、channel和sink 多种组合
liuxiangke0210的专栏
04-30 1300
原文链接: http://blog.youkuaiyun.com/u012373815/article/details/54351323 乐高积木flume flume 有三大组件source 、channel和sink,各个组件之间都可以相互组合使用,各组件间耦合度低。使用灵活,方便。 1.多sink channel 的内容只输出一次,同一个event 如果sink1
flume-ng interceptors
既认准这条路,又何必在意要走多久
11-26 4843
flume interceptors
Filebeat 关键字多行匹配日志采集(multiline与include_lines)
weixin_33824363的博客
06-23 2399
很多同事认为filebeat采集日志不能做到多行处理,今天这里讨论下filebeat的multiline与include_lines。先来个案例,以下日志,我们只要求采集error的字段,2017/06/2211:26:30[error]26067#0:*17918connect()failed(111:Connectionrefused)whilec...
日志系统之Flume采集加morphline解析
VinoYang的专栏
11-20 8013
这段时间花了部分时间在处理[消息总线](https://github.com/yanghua/banyan)跟日志的对接上。这里分享一下在日志采集和日志解析中遇到的一些问题和处理方案。
(三)使用Flume写入当前文件系统 假设有一个目录“C:/mylogs/”,新建两个文本文本文件1.txt与2.txt,在1.txt中输入Hello Flume,在2.txt中输入hello flume。使用Flume对目录“C:/mylogs/”进行监控,当把1.txt与2.txt放入该目录时,Flume就会把文件内容写入“C:/backup/”目录下的文件中(注:配置文件中source的type为spooldir,sink的type为file_roll)。
最新发布
04-26
<think>好的,我现在需要帮助用户配置Flume,使用spooldir作为source监控指定目录,并将内容通过file_roll sink写入另一个目录。用户提到目录是C:/mylogs/和C:/backup/,系统是Windows 10,Flume 1.9.0。 首先,我得回忆一下Flume的基本组件结构,Agent由Source、Channel、Sink组成。spooldir source用于监控一个目录,当有新文件时读取,处理完成后会标记文件为完成,通常是添加.COMPLETED后缀。而file_roll sink则是将数据写入本地文件系统,可以指定目录,并且支持滚动生成新文件。 接下来,用户需要具体的配置文件。我应该先确定各个组件的配置参数。spooldir source需要指定spoolDir属性为C:/mylogs/,还要注意是否忽略隐藏文件,比如以.tmp开头的临时文件。可能需要设置fileHeader为true,这样在event的头信息中包含文件名,但用户的需求只是传输内容,可能不需要这个。不过根据经验,spooldir默认会添加文件头,但用户可能不需要,所以可能需要设置fileHeader为false? 然后是Channel的选择。用户没有特别要求,通常使用内存Channel,但要注意如果数据量较大可能会有丢数据的风险。不过对于测试环境,memory channel是合适的,所以配置type为memory,capacity和transactionCapacity根据默认值设置即可。 接下来是sink部分。file_roll sink需要指定sink.directory为C:/backup/,同时要配置滚动策略。默认情况下,file_roll会在指定时间间隔或达到一定大小后滚动文件,但用户可能需要自定义这些参数,比如设置rollInterval为0表示不按时间滚动,而是每个批次写入一个文件。不过需要查阅Flume文档确认参数的有效性。例如,sink.rollInterval单位是秒,设置为0可能禁用时间滚动,而sink.batchSize可能控制每个事务处理的事件数,影响写入频率。 另外,文件名的生成可能需要配置sink.pathManager,默认是默认的路径管理,但用户可能希望自定义文件名,不过file_roll sink默认会生成带有时间戳的文件名,或者按序列递增。这里可能需要进一步确认配置选项,比如是否支持自定义前缀或后缀。 还需要考虑文件编码和格式,比如是否以文本形式写入,是否需要序列化。spooldir source默认将文件内容作为event的body,每行一个event,还是整个文件作为一个event?哦,spooldir source会将整个文件内容作为单个event,或者按行分割,这取决于配置。默认情况下,spooldir会将整个文件作为一个event,但如果文件很大,可能需要拆分成多行,但通常spooldir适合处理不可变的、完整的文件,比如日志文件被移动进来后不再修改。因此,可能需要使用line deserializer来按行处理,但用户的需求是传输整个文件内容,可能需要使用默认的deserializer,即读取整个文件内容作为一个event。 然后,配置文件中需要将source、channel、sink连接起来。确保source的channel和sink的channel名称一致。例如,agent.sources = spoolSource,agent.channels = fileChannel,agent.sinks = fileSink,然后绑定各自的channel。 还需要注意Windows路径的写法,应该使用正斜杠或者双反斜杠。比如C:/mylogs/或C:\\mylogs\\,但在Flume配置中通常使用正斜杠即可,因为Java可以处理。 可能的问题点包括:spooldir监控的目录是否有权限,文件是否被其他进程占用,处理后的文件是否被正确重命名,避免重复处理。需要提醒用户将文件放入监控目录后,Flume会立即处理处理后的文件会被加上.COMPLETED后缀,因此用户不应手动修改或删除这些文件,否则可能导致错误。 此外,file_roll sink的目录需要存在吗?可能Flume不会自动创建目录,所以用户需要确保C:/backup/存在,否则会报错。同时,检查sink的配置参数是否正确,比如sink.directory是否写对了路径。 最后,启动Flume的命令需要正确指定配置文件名称和agent名称,例如: flume-ng agent --conf conf --conf-file spooldir-to-fileroll.conf --name agent -Dflume.root.logger=INFO,console 这样可以在控制台看到日志,方便调试。 总结步骤:编写配置文件,设置spooldir source监控C:/mylogs/,使用memory channel,file_roll sink写入C:/backup/,配置相关参数如批处理大小、滚动间隔,确保路径正确,启动Flume并测试。</think>--- ### Flume Spooldir + File Roll 配置详解 #### 一、配置文件 `spooldir-to-fileroll.conf` ```properties # 定义Agent组件 agent.sources = spoolSource agent.channels = memChannel agent.sinks = fileSink # 配置Spooldir Source(监控C:/mylogs/) agent.sources.spoolSource.type = spooldir agent.sources.spoolSource.spoolDir = C:/mylogs/ agent.sources.spoolSource.fileHeader = false # 不添加文件名头信息 agent.sources.spoolSource.ignorePattern = ^\\..*$ # 忽略隐藏文件(如.tmp临时文件) # 配置Memory Channel agent.channels.memChannel.type = memory agent.channels.memChannel.capacity = 1000 # 最大事件数 agent.channels.memChannel.transactionCapacity = 100 # 单次事务处理量 # 配置File Roll Sink(写入C:/backup/) agent.sinks.fileSink.type = file_roll agent.sinks.fileSink.sink.directory = C:/backup/ # 输出目录 agent.sinks.fileSink.sink.rollInterval = 0 # 关闭时间滚动 agent.sinks.fileSink.sink.batchSize = 10 # 每10个事件写入一次 agent.sinks.fileSink.sink.filePrefix = log # 文件名前缀 agent.sinks.fileSink.sink.fileSuffix = .dat # 文件名后缀 # 绑定组件 agent.sources.spoolSource.channels = memChannel agent.sinks.fileSink.channel = memChannel ``` --- #### 二、关键参数说明 1. **Spooldir Source**: - `spoolDir`:被监控的输入目录(文件移入后会被自动处理) - `ignorePattern`:通过正则表达式忽略临时文件 - **文件处理规则**: - 文件名不能重复(建议使用唯一标识如时间戳) - 文件处理完成后添加`.COMPLETED`后缀[^1] 2. **File Roll Sink**: - `rollInterval`:文件滚动时间间隔(秒),设为0表示禁用时间触发 - `batchSize`:控制写入频率(每N个事件触发一次写入) - **输出文件示例**:`C:/backup/log.1712345678.dat` --- #### 三、操作流程 1. **准备目录**: ```bash mkdir C:\mylogs # 监控目录 mkdir C:\backup # 输出目录 ``` 2. **启动Flume Agent**: ```bash flume-ng agent --conf conf --conf-file spooldir-to-fileroll.conf --name agent -Dflume.root.logger=INFO,console ``` 3. **测试验证**: ```bash # 将测试文件复制到监控目录 copy test.log C:\mylogs\data_20240520.log # 观察输出目录生成文件 dir C:\backup ``` --- #### 四、故障排查指南 | 现象 | 可能原因 | 解决方案 | |---------------------|-------------------------|----------------------------| | 文件未处理 | 文件名重复或正在写入 | 确保文件完全生成后再移入监控目录 | | 输出目录无文件 | 路径权限问题 | 以管理员身份运行Flume Agent | | 出现`.COMPLETED`文件但无输出 | Channel容量不足 | 增大`memoryChannel.capacity` | --- #### 五、性能优化建议 1. **提升吞吐量**: ```properties agent.channels.memChannel.capacity = 50000 # 增大Channel容量 agent.sources.spoolSource.batchSize = 500 # 增大批处理量 ``` 2. **文件滚动策略**: ```properties agent.sinks.fileSink.sink.rollInterval = 3600 # 每小时生成新文件 agent.sinks.fileSink.sink.maxFileSize = 1048576 # 文件最大1MB ``` ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值