十三 Flink CEP

最新推荐文章于 2025-05-18 19:47:30 发布
原创 最新推荐文章于 2025-05-18 19:47:30 发布 · 192 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#flink #大数据

本文介绍了Flink CEP的概念,包括从简单事件流中发现复杂事件的目标,以及如何使用Pattern API进行事件匹配。通过案例展示了如何检测连续三次登录失败的事件和订单超时情况,提供了具体的POM配置、Pattern API用法及数据筛选方法。

文章目录

1 概念

一个或多个由简单事件构成的事件流通过一定的规则匹配,然后输出用户想得到的数据,满足规则的复杂事件。
特征:
• 目标:从有序的简单事件流中发现一些高阶特征
• 输入:一个或多个由简单事件构成的事件流
• 处理:识别简单事件之间的内在联系,多个符合一定规则的简单事件构成复杂事件
• 输出:满足规则的复杂事件
在这里插入图片描述
在这里插入图片描述

2 使用

2.1 pom文件

<dependency>
<groupId>org.apache.flink</groupId>
<artifactId>flink-cep-scala_${scala.binary.version}</artifactId>
<version>${flink.version}</version>
</dependency>

2.2 使用

Event Streams
登录事件流

case class LoginEvent(userId: String,
	ip: String,
	eventType: String,
	eventTime: String
)
val env = StreamExecutionEnvironment.getExecutionEnvironment
env.setStreamTimeCharacteristic(TimeCharacteristic.EventTime)
env.setParallelism(1)
val loginEventStream = env
	.fromCollection(List(
	LoginEvent("1", "192.168.0.1", "fail", "1558430842"),
	LoginEvent("1", "192.168.0.2", "fail", "1558430843"),
	LoginEvent("1", "192.168.0.3", "fail", "1558430844"),
	LoginEvent("2", "192.168.10.10", "success", "1558430845")
))
.assignAscendingTimestamps(_.eventTime.toLong * 1000)

2.3 Pattern API

每个 Pattern 都应该包含几个步骤,或者叫做 state。从一个 state 到另一个 state,通常我们需要定义一些条件,例如下列的代码;

/**
选出在10秒内连续两个两次登录失败
*/
val loginFailPattern = Pattern.begin[LoginEvent]("begin") //第一个event
.where(_.eventType.equals("fail"))
.next("next") //第二个event
.where(_.eventType.equals("fail"))
.within(Time.seconds(10)

start:一个event
where: 是过滤条件
next:下一个event(要紧挨着)
followedBy : 下一个不要挨着
or: 或
within: 指定在某段时间内
我们也可以通过 subtype 来限制 event 的子类型:

start.subtype(SubEvent.class).where(...);

然后就可以上在指定流上根据pattern 来过滤出来想要的数据流

val input = ...
val pattern = ...目录 163
val patternStream = CEP.pattern(input, pattern)
val patternStream = CEP
.pattern(
loginEventStream.keyBy(_.userId), loginFailPattern
)

一旦获得 PatternStream,我们就可以通过 select 或 flatSelect,从一个 Map 序列找到我们需要的告警信息

使用select选出我们的数据

select 方法需要实现一个 PatternSelectFunction,通过 select 方法来输出需要的警告。它接受
一个 Map 对,包含 string/event,其中 key 为 state 的名字, event 则为真是的 Event。
val loginFailDataStream = patternStream
.select((pattern: Map[String, Iterable[LoginEvent]]) => {
val first = pattern.getOrElse("begin", null).iterator.next()
val second = pattern.getOrElse("next", null).iterator.next()
(second.userId, second.ip, second.eventType)
})
其返回值仅为 1 条记录。flatSelect通过实现 PatternFlatSelectFunction,实现与 select 相似的功能。唯一的区别就是 flatSelect 方法可以返回多条记录。

3 案例

3.1 检测连续三次登录失败的事件

package org.example.cep

import org.apache.flink.cep.scala.CEP
import org.apache.flink.cep.scala.pattern.Pattern
import org.apache.flink.streaming.api.TimeCharacteristic
import org.apache.flink.streaming.api.scala._
import org.apache.flink.streaming.api.windowing.time.Time

import scala.collection.Map

// 检测连续三次登录失败的事件
object CepExample {

  case class LoginEvent(userId: String, ip: String, eventType: String, eventTime: Long)

  def main(args: Array[String]): Unit = {
    val env = StreamExecutionEnvironment.getExecutionEnvironment
    env.setParallelism(1)
    env.setStreamTimeCharacteristic(TimeCharacteristic.EventTime)

    val stream = env
      .fromElements(
        LoginEvent("user_1", "0.0.0.0", "fail", 1000L),
        LoginEvent("user_1", "0.0.0.1", "fail", 2000L),
        LoginEvent("user_1", "0.0.0.2", "fail", 3000L),
        LoginEvent("user_2", "0.0.0.0", "success", 4000L)
      )
      .assignAscendingTimestamps(_.eventTime)
      .keyBy(_.userId)

    // 定义需要匹配的模板
    val pattern = Pattern
      .begin[LoginEvent]("first").where(_.eventType.equals("fail"))
      .next("second").where(_.eventType.equals("fail"))
      .next("third").where(_.eventType.equals("fail"))
      .within(Time.seconds(10)) // 10s之内连续三次登录失败

    // 第一个参数:需要匹配的流,第二个参数:模板
    val patternedStream = CEP.pattern(stream, pattern)

    patternedStream
      .select(func)
      .print()

    env.execute()
  }

  // 注意匿名函数的类型
  val func = (pattern: Map[String, Iterable[LoginEvent]]) => {
    val first = pattern.getOrElse("first", null).iterator.next()
    val second = pattern.getOrElse("second", null).iterator.next()
    val third = pattern.getOrElse("third", null).iterator.next()

    first.userId + "连续三次登录失败!"
  }
}

3.2 订单超时检测

package test7

import org.apache.flink.cep.scala.CEP
import org.apache.flink.cep.scala.pattern.Pattern
import org.apache.flink.streaming.api.TimeCharacteristic
import org.apache.flink.streaming.api.scala._
import org.apache.flink.streaming.api.windowing.time.Time
import org.apache.flink.util.Collector

import scala.collection.Map

object OrderTimeout {
  case class OrderEvent(orderId: String, eventType: String, eventTime: Long)

  def main(args: Array[String]): Unit = {
    val env = StreamExecutionEnvironment.getExecutionEnvironment
    env.setStreamTimeCharacteristic(TimeCharacteristic.EventTime)
    env.setParallelism(1)

    val stream = env
      .fromElements(
        OrderEvent("order_1", "create", 2000L),
        OrderEvent("order_2", "create", 3000L),
        OrderEvent("order_2", "pay", 4000L)
      )
      .assignAscendingTimestamps(_.eventTime)
      .keyBy(_.orderId)

    val pattern = Pattern
      .begin[OrderEvent]("create").where(_.eventType.equals("create"))
      .next("pay").where(_.eventType.equals("pay"))
      .within(Time.seconds(5))

    val patternedStream = CEP.pattern(stream, pattern)

    // 用来输出超时订单的侧输出标签
    val orderTimeoutOutput = new OutputTag[String]("timeout")

    // 用来处理超时订单的函数
    val timeoutFunc = (map: Map[String, Iterable[OrderEvent]], ts: Long, out: Collector[String]) => {
      println("ts" + ts) // 2s + 5s
      val orderStart = map("create").head
      // 将报警信息发送到侧输出流去
      out.collect(orderStart.orderId + "没有支付!")
    }

    val selectFunc = (map: Map[String, Iterable[OrderEvent]], out: Collector[String]) => {
      val order = map("pay").head
      out.collect(order.orderId + "已经支付!")
    }

    val outputStream = patternedStream
      // 第一个参数:用来输出超时事件的侧输出标签
      // 第二个参数:用来输出超时事件的函数
      // 第三个参数:用来输出没有超时的事件的函数
      .flatSelect(orderTimeoutOutput)(timeoutFunc)(selectFunc)

    outputStream.print()
    outputStream.getSideOutput(new OutputTag[String]("timeout")).print()

    env.execute()
  }
}
Flink CEP 原理解析:NFA 状态机、规则 DSL & 动态规则支持
AI天才研究院
04-30 616
初始状态:等待第一笔小额交易小额交易状态:已检测到1到N-1笔小额交易大额交易状态:检测到足够多的小额交易后的大额交易将欺诈检测模式转换为状态机表示动态维护多条可能的匹配路径高效处理时间窗口和复杂条件在满足条件时及时触发告警这种方法能够在大规模流数据中高效识别复杂的事件序列模式,为金融安全、风险控制等领域提供强大的技术支持。Flink CEP 的触发时机机制是一个多层次、灵活的系统,它通过组合完全匹配触发、时间窗口触发和条件触发等多种策略,实现了对复杂事件序列的精确检测。
Flink CEP原理与代码实例讲解
AI天才研究院
06-08 1012
Flink CEP原理与代码实例讲解 1.背景介绍 1.1 什么是复杂事件处理CEP 复杂事件处理(Complex Event Processing, CEP)是一种用于分析事件流的技术。它可以从多个事件源中实时检测复杂的事件模
Flink系列01: FlinkCEP从源码开始学习(定义与基本概念)
大数据laji佬自留地
08-17 832
从一个新手的角度,直接阅读源码来学习FlinkCEP,得到官方、权威的教程
大数据计算引擎之Flink Flink CEP复杂事件编程
风景旧曾谙
12-26 1103
原文地址:大数据计算引擎之Flink Flink CEP复杂事件编程 复杂事件编程(CEP)是一种基于流处理的技术,将系统数据看作不同类型的事件,通过分析事件之间的关系,建立不同的时事件系序列库,并利用过滤、关联、聚合等技术,最终有简单事件产生高级事件,并通过模式规则的方式对重要信息进行跟踪和分析,从实时数据中心发掘有价值的信息。复杂事件处理主要应用于防范网络欺诈、设备故障检测、风险规避和智能...
scala模拟编写用户登录
qing__long的博客
03-27 1981
scala模拟编写用户登录 题目 验证登录信息的合法性。使用的是指定用户名与密码正常,并且验证码正常后,允许程序登录,否则将用户拒之门外。如果是用户名不正确,提醒用户名不正常,密码不正确提醒密码不正确,验证码不正常提醒验证码不正确。验证码要求为随机数,例如:10X2=?,乘集结果为验证号最终答案,...
Flink CEP 复杂事件处理
yang灬仔
07-24 945
1 复杂事件 1.1 引入 在Flink RichFunction&state这篇博文中我们一起学习了下如何结合使用keyBy state和TreeSet在一条无界流中进行全局的分组求top n操作,可以解决一些实时看板相关的业务问题。在Flink BroadcastStream这篇博文中我们也学习到了如何使用广播流来处理监控规则经常变更的程序日志监控业务。 那么现在我们又遇到了一个新的业务需求:判断一个用户在点击了商品之后是否立即进行了下单付款操作,如果是的话将用户名和点击时间以及下单付款时
Apache Flink CEP学习总结
热门推荐
卧龙居
11-02 2万+
1. 简介 Apache Flink是一个计算框架,地位和Spark差不多。里面的API也有与Spark类似的,例如FlinkKafkaConsumer010对应着Spark里的读取Kafka形成流的API,DataStream对应着Spark里的DStream,也有一系列的transform API例如map/fliter等等。 在yarn上提交任务的方式也十分简洁: 请注意,它的ya...
精选资源
Flink CEP学习线路指导1:Flink CEP入门
01-07
问题导读 1.Flink CEP是什么?2.Flink CEP可以做哪些事情?3.Flink CEP和流式处理有什么区别?...CEPFlink未产生以前,已经有CEP,并不是有了Flink才有CEP,我们这里重点是讲Flink CEPCEP本身的含义
精选资源
Flink动态CEP,来自啤酒鸭
09-19
标题中的“Flink动态CEP”指的是Apache Flink中用于处理事件流的复杂事件处理(Complex Event Processing,简称CEP)功能,而“动态”则意味着这种处理方式具有灵活性和可适应性,能够应对流数据中模式的变化。Flink...
Flink CEP是什么?
最新发布
╮(╯_╰)╭ Don't expect me to reply to you in time
05-18 759
CEP 是一种从连续的数据流中识别出符合预设模式(Pattern)的事件组合的技术。用户行为分析(如“登录 → 加入购物车 → 放弃支付”)异常检测(如“连续失败请求超过3次”)风控规则匹配(如“短时间内多次转账”)特性描述名称Flink CEP功能流式数据中识别事件模式输入无界流输出匹配到的事件组合适用场景用户行为分析、风控、安全审计等依赖库flink-cep或。
Flink: CEP详解
xinji
02-20 5445
本文根据 Apache Flink 系列直播课程整理而成,由哈啰出行大数据实时平台资深开发刘博分享。通过一些简单的实际例子,从概念原理,到如何使用,再到功能的扩展,希望能够给计划使用或者已经使用的同学一些帮助。 主要的内容分为如下三个部分: Flink CEP 概念以及使用场景。 如何使用 Flink CEP。 如何扩展 Flink CEPFlink CEP 概念以及使用场景 1.什么是 CEP CEP 的意思是复杂事件处理,例如:起床–>洗漱–>吃饭–>上班等一系列串
Flink CEP详解
huahuaxiaoshao的博客
07-22 1万+
1 概念 (1)定义       复合事件处理(Complex Event Processing,CEP)是一种基于动态环境中事件流的分析技术,事件在这里通常是有意义的状态变化,通过分析事件间的关系,利用过滤、关联、聚合等技术,根据事件间的时序关系和聚合关系制定检测规则,持续地从事件流中查询出符合要求的事件序列,最终分析得到更复杂的复合事件。 (2)特征       CEP的特征如下: &
Flink - CEP 实时分用户析攻击行为
多一份贡献,多一份环保
11-19 5160
在这样一种场景,用户的登录行为数据都会以LoginEvent的行式记录下来,每次失败或者成功以及错误都会记录下来,一般客户端都会进行检验,正常的用户不可能在一秒钟之内登录错误多次,这时候我就得怀疑这部分数据是不是机器对用户的密码进行暴力破解,如果有需要我们得将这些攻击IP进行封锁。 Flink - CEP 优点 复杂性:多个流join,窗口聚合,事件序列或patterns检测 低延迟:秒或毫秒...
flink电商实战+CEP
weixin_38312502的博客
02-14 3368
1. 基于flink的电商用户行为数据分析 Flink电商项目第一天-电商用户行为分析及完整图步骤解析-热门商品统计TopN的实现 批处理和流处理 电商用户行为分析 数据源解析 项目模块划分 1.1 批处理和流处理 批处理 批处理主要操作大容量静态数据集,并在计算过程完成后返回结果。 可以认为,处理的是用一个固定时间间隔分组的数据点集合。 批处理模式中使用的数据集通常符合下列特征: 有界:批处理数据集代表数据的有限集合 持久:数据通常始终存储在某种类型的持久存储位置中 大量:批处理操作通常是处理极
Flink实现双流join
andy的博客
08-22 9153
文章目录1 基于时间的双流join1.1 用法:1.2 案例2 基于窗口做双流join2.1 案例:3 使用connect 和 CoProcessFunction实现join 1 基于时间的双流join 基于间隔的 Join 会对两条流中拥有相同键值以及彼此之间时间戳不超过某一指定间隔的事件进行 Join。 基于时间间隔的 Join 目前只支持事件时间以及 INNER JOIN 语义 1.1 用法: input1 .keyBy(...) .between(<lower-bound>, <u
三 搭建 flink 开发环境(idea)
andy的博客
08-04 1623
文章目录1 在 idea 中添加依赖1.1 在创建目录时添加2 编写代码2.1 创建运行时环境2.2 添加 source生成流2.2.1 fromElements方法专门用几台数据生成流.2.2.2 也可以用socket来生成流:2.3 计算2.4 添加sink2.5 执行程序2.6 编译执行或者打成jar包3 jar在flink上运行3.1 启动 Flink 集群3.2 提交打包好的 JAR 包3.3 停止 Flink 集群3.4 查看标准输出日志的位置,在 log 文件夹中 1 在 idea 中添加依赖
Flink window API
andy的博客
08-03 1298
文章目录1 winsow的概念2 window的类型2.1 时间窗口(Time Window)2.2 计数窗口(Count Window) 1 winsow的概念 flink是流失处理框架,在真实应用中流一般是没有边界的.那要处理无界的流我们一般怎么处理呢?一般是把无界流切分成一份份有界的流,窗口就是切分无界流的一种方式.它会将流数据分发到有限大小的桶(bucket)中进行分析. 2 window的类型 2.1 时间窗口(Time Window) 滚动时间窗口 (1) 将数据依照固定的窗口大小
十四 Flink table API
andy的博客
08-30 791
文章目录1 需要的依赖pom文件1.1 流程2 创建环境2.1 基于流处理执行环境,调 create 方法直接创建2.2 配置老版本的流式查询(Flink-Streaming-Query)2.3 基于老版本的批处理环境(Flink-Batch-Query)2.4 基于 blink 版本的流处理环境(Blink-Streaming-Query)2.5 基于 blink 版本的批处理环境(Blink-Batch-Query)2.6 案例3 在 Catalog 中注册表3.1 连接到文件系统(Csv 格式)3.2
十二 状态
andy的博客
08-24 653
文章目录1 键控状态 (keyed state)1.1 ValueState 案例1.2 flatMapWithState 实现以上需求1.3 ListState1.4 使用连接的广播状态 (using connected broadcast state)2 算子状态(不做介绍)3 检查点4 保存点4.1 触发保存点4.2 取消job的同时触发保存点4.3 从保存点启动4.3 删除savepoint5 flink常用命令 两种状态,键控状态 (keyed state) 和算子状态 (operator sta
flink cep
03-08
### Flink CEP 使用指南 #### 什么是Flink CEP? 在实时数据处理领域,Apache Flink 成为了一个重要开源流处理框架[^1]。Flink 不仅提供高吞吐量、低延迟的数据处理能力,还特别支持复杂事件处理(CEP)。Flink CEPFlink 的一个库,允许用户以声明方式指定事件模式,并从数据流中识别这些模式的实例。 #### 关键概念 Flink CEP 中可以定义复杂的事件模式并将其应用到数据流上。一旦数据流中的事件与所定义模式相匹配,则可触发特定操作,例如生成警告或启动新任务等[^3]。内部实现方面,Flink CEP 利用了NFA(非确定有限自动机),这是一种由节点和边构成的状态图结构,其中包含了起始状态、中间状态以及结束状态等多种类型的节点;而边则被分类为take、ignore 和 proceed三类[^4]。 #### 示例代码 下面是一个简单的例子展示如何利用Python编写一段程序来检测交易金额超过一定阈值的情况: ```python from pyflink.datastream import StreamExecutionEnvironment from pyflink.table import StreamTableEnvironment, EnvironmentSettings from pyflink.dataset.execution_environment import get_execution_environment from pyflink.datastream.connectors.kafka import FlinkKafkaConsumer from pyflink.common.serialization import SimpleStringSchema import json def main(): env = StreamExecutionEnvironment.get_execution_environment() t_env = StreamTableEnvironment.create(env) kafka_consumer = FlinkKafkaConsumer( topics='transactions', deserialization_schema=SimpleStringSchema(), properties={'bootstrap.servers': 'localhost:9092', 'group.id': 'test'} ) ds = env.add_source(kafka_consumer)\ .map(lambda value: json.loads(value))\ .key_by(lambda transaction: transaction['account_id'])\ pattern = Pattern.begin("start") \ .where(lambda transaction: float(transaction["amount"]) > 1000)\ cep_result = CEP.pattern(ds, pattern).select() if __name__ == '__main__': main() ``` 此段脚本创建了一个名为`pattern`的对象用于描述我们要查找的目标序列——即任何单笔转账数额大于一千美元的情形。之后调用`.select()`函数获取满足条件的结果集。 #### 教程资源链接 对于更详细的教程和其他学习资料,请参阅官方文档或其他在线课程平台上的相关内容。这里提供的只是一个非常基础的例子用来说明基本的概念和技术细节。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值