實時日誌收集-查詢-分析系統(Flume+ElasticSearch+Kibana)

原創 qwurey 2020-06-25 07:26

設計方案:Flume(日誌收集) + ElasticSearch(日誌查詢)+ Kibana(日誌分析與展示)

實驗使用場景:通過ambari部署集羣后,可以添加自己的日誌系統,記錄每個組件的產生的日誌,實時的查詢分析。

一、Flume概述

Apache Flume is a distributed, reliable, and available system for efficiently collecting, aggregating and moving large amounts of log data from many different sources to a centralized data store.

The use of Apache Flume is not only restricted to log data aggregation. Since data sources are customizable, Flume can be used to transport massive quantities of event data including but not limited to network traffic data, social-media-generated data, email messages and pretty much any data source possible.

二、Flume架構

每一個Flume agent包含三種類型的組件:source(從數據源獲取生成event data),channel(接收source給put來的event data),sink(從channel取走event data)

注意上面寫的是一個flume agent包含三種而不是三個

flume-arch

解釋下什麼是event data?

官方解釋:A Flume event is defined as a unit of data flow having a byte payload and an optional set of string attributes.

簡單理解:flume event data = headers + body,其中body的類型是byte[],headers的類型是Map<String,String>,event代表着一個數據流的最小完整單元,如果是source是從文本文件中讀數據,那event的body通常就是每行的內容,headers可以自行添加。

三、Flume需要理解的內容

  1. 如何配好一個最簡單的flume.conf,使得flume agent正常工作;

  2. Flume的flow的種類和適用場景;

  3. Flume的官方提供的sources,channels,sinks,如提供的不滿足需求,可自定義適用於自己場景的source、channel和sink;

四、ElasticSearch概述

Elasticsearch是一個基於Apache Lucene(TM)的開源的、實時的、分佈式的、全文存儲、搜索、分析引擎。

Lucene使用起來非常複雜,ES(ElasticSearch)可以看成對其進行了封裝,提供了豐富的REST API,上手非常容易。

五、ElasticSearch的數據模型的簡單理解

在Elasticsearch中,有幾個概念(關鍵詞),有別於我們使用的關係型數據庫中的概念,注意類比:

Relational DB   -> Databases        -> Tables -> Rows       -> Columns
Elasticsearch   -> Indices(Index)   -> Types  -> Documents  -> Fields

Elasticsearch集羣可以包含多個索引(indices)(數據庫),每一個索引可以包含多個類型(types)(表),每一個類型包含多個文檔(documents)(行),然後每個文檔包含多個字段(Fields)(列)。

如何定位es中的一個文檔(Document)?

通過Index(索引: 文檔存儲的地方) + Type(類型:文檔代表的對象的類)+ Document_ID(唯一標識:文檔的唯一標識),在ES內部的元數據表示爲:_index + _type + _id。

六、Kibana概述

可以看成是ES的一個插件,提供的功能:

  1. Flexible analytics and visualization platform

  2. Real-time summary and charting of streaming data

  3. Intuitive interface for a variety of users

  4. Instant sharing and embedding of dashboards

七、系統實現

環境:

1)JDK版本:java -version
java version "1.7.0_75"
OpenJDK Runtime Environment (rhel-2.5.4.0.el6_6-x86_64 u75-b13)
OpenJDK 64-Bit Server VM (build 24.75-b04, mixed mode)
(2)Flume1.6.03)ElasticSearch1.7.5

注意:我這裏實驗顯示Flume1.6.0不能導數據到ES2.2.0

log-arch

Flume使用的conf,可以簡單的設置如下:

agent.sources = yarnSrc hbaseSrc
agent.channels = memoryChannel
agent.sinks = elasticsearch

# source1:hdfsSrc
agent.sources.hdfsSrc.type = exec
agent.sources.hdfsSrc.command = tail -F /var/log/tbds/hdfs/hdfs/hadoop-hdfs-datanode-10.151.139.111.log
agent.sources.hdfsSrc.channels = memoryChannel

# source2:yarnSrc
agent.sources.yarnSrc.type = exec
agent.sources.yarnSrc.command = tail -F /var/log/tbds/yarn/yarn/yarn-yarn-nodemanager-10.151.139.111.log
agent.sources.yarnSrc.channels = memoryChannel

# source3:hbaseSrc
agent.sources.hbaseSrc.type = exec
agent.sources.hbaseSrc.command = tail -F /var/log/tbds/hbase/hbase-hbase-regionserver-10.151.139.111.log
agent.sources.hbaseSrc.channels = memoryChannel

# sink1:localSink
agent.sinks.localSink.type = file_roll
agent.sinks.localSink.sink.directory = /var/log/flume
agent.sinks.localSink.sink.rollInterval = 0
agent.sinks.localSink.channel = memoryChannel

# sink2:esSink
agent.sinks.elasticsearch.channel = memoryChannel
agent.sinks.elasticsearch.type = org.apache.flume.sink.elasticsearch.ElasticSearchSink
agent.sinks.elasticsearch.hostNames = 10.151.139.111:9300

agent.sinks.elasticsearch.indexName = basis_log_info
agent.sinks.elasticsearch.batchSize = 100
agent.sinks.elasticsearch.indexType = logs
agent.sinks.elasticsearch.clusterName = my-test-es-cluster
agent.sinks.elasticsearch.serializer = org.apache.flume.sink.elasticsearch.ElasticSearchLogStashEventSerializer

# channel1
agent.channels.memoryChannel.type = memory
agent.channels.memoryChannel.capacity = 100

注意要在flume/lib下加入兩個包:
lucene-core-4.10.4.jar
elasticsearch-1.7.5.jar

The elasticsearch and lucene-core jars required for your environment must be placed in the lib directory of the Apache Flume installation.

之後分別運行elasticsearch和flume即可。

八、系統改進

  1. 配置flume interceptor加入各類headers,重寫ElasticSearchLogStashEventSerializer使得event的header部分可以作爲es的文檔的field

  2. memory channel與file channel的結合,參見美團日誌系統的改進

  3. 日誌若是錯誤信息,並不是每一行都是作爲es的一個文檔,而是若干行的內容纔是es的一個文檔的message

九、系統實現效果

導入es的文檔數據結構:

es-data-structure

Kibana展示:

kibana-result

References:

  1. Apache Flume:https://flume.apache.org/

  2. elastic.co:https://www.elastic.co/

  3. Elasticsearch權威指南(中文版):https://www.gitbook.com/book/looly/elasticsearch-the-definitive-guide-cn/details

  4. Kibana :https://www.elastic.co/products/kibana

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

用DolphinScheduler輕鬆實現Flume數據採集任務自動化!

轉載自天地風雷水火山澤 目的 因爲我們的數倉數據源是Kafka,離線數倉需要用Flume採集Kafka中的數據到HDFS中。 在實際項目中,我們不可能一直在Xshell中啓動Flume任務,一是因爲項目的Flume任務很多,二是一旦Xsh

原創 2024-04-24 21:18:09

用海豚調度器定時調度從Kafka到HDFS的kettle任務腳本

在實際項目中,從Kafka到HDFS的數據是每天自動生成一個文件,按日期區分。而且Kafka在不斷生產數據,因此看看kettle是不是需要時刻運行?能不能按照每日自動生成數據文件? 爲了測試實際項目中的海豚定時調度從Kafka到HDFS的K

原創 2024-04-15 21:18:44

flume搭建調試

Installing CDH3 https://ccp.cloudera.com/display/CDHDOC/CDH3+Installation

yydcj 2020-07-06 08:33:02

用Maven編譯Apache flume-ng 1.5.0源碼及問題解決

在今年的5月22號,Flume-ng 1.5.0版本正式發佈,關於Flume-ng 1.5.0版本的新特性可以參見本博客的《Apache Flume-ng 1.5.0正式發佈》進行了解。關於Apache flume-ng 1.4.

yydcj 2020-07-06 08:32:51

Flume單機安裝及測試

一、安裝 1、官網下載 http://flume.apache.org/download.html [root@master softWare]# cd flume/ [root@master flume]# ls [root@ma

时不我待,一日千里 2020-07-06 03:53:34

flume各種配置

source 1 avro 從網絡收集數據 #a2 a2.sources = r2 a2.sinks= k2 a2.channels = c2 a2.sources.r2.type=avro a2.sources.r2.bi

宁君 2020-07-05 18:43:20

flume攔截器的使用

interceptors 攔截器 ​ 可以攔截數據源 source 給數據源添加數據 header信息 爲了後續的數據的更加方便的使用 默認攔截器有: 1)Timestamp Interceptor ​ 在數據源上添加時間

宁君 2020-07-05 18:43:20

Flume+Hbase--採集和儲存日誌數據

前言 大數據時代,誰掌握了足夠的數據,誰就有可能掌握未來,而其中的數據採集就是將來的流動資產積累。 幾乎任何規模企業,每時每刻也都在產生大量的數據,但這些數據如何歸集、提煉始終是一個困擾。而大數據技術的意義確實不在於掌握規模龐大的

Mojoooo 2020-07-05 10:57:53

嘗試flume配置文件從啓動命令接收參數

接着上一篇flume接收數據傳入hbase。 這次的目的是: flume配置文件sink指定hbase的表名可以當成參數進行接收,以便於能隨外部切換hbase不同的表。 例如在test.conf中 a1.sources = r1

z骑士 2020-07-05 09:15:56

Windows10安裝apache-flume-1.9.0-bin

1、flume1.9下載地址:http://mirror.bit.edu.cn/apache/flume/1.9.0/apache-flume-1.9.0-bin.tar.gz 2、然後找到1.9版本下載解壓到指定路徑(安裝路徑名

小强签名设计 2020-07-04 12:16:25

flume學習日記

Flume 優點: 可以和任意存儲進程集成。 輸入的的數據速率大於寫入目的存儲的速率,flume會進行緩衝,減小hdfs的壓力。 flume中的事務基於channel,使用了兩個事務模型(sender + receiver),確

孙拾柒 2020-07-03 19:13:08

Centons7下安裝配置Flume、Linux下安裝配置Flume、Flume的簡單使用示例、Flume整合Kafka使用

本篇文章主要介紹在windows下使用vmware虛擬機中的Linux(Centons7)下配置安裝Flume。 目前Flume 的最新版本爲1.8,筆者安裝的是1.6,是Flume的一個經典版本,通常在生產環境中使用的就是這個版本,在安

zjh_746140129 2020-07-02 20:00:07

日常問題——flume連接hive時報錯Caused by: java.lang.NoSuchMethodError

問題描述: 今天新安裝的flume,使用flume來做kafka與hive對接時出現了以下兩個的錯誤: Caused by: org.apache.hive.hcatalog.streaming.ConnectionError:

栗筝i 2020-07-02 07:40:32

通過Flume簡單實現Kafka與Hive對接(Json格式)

將以下存儲在kafka的topic中的JSON格式字符串,對接存儲到Hive的表中 {"id":1,"name":"小李"} {"id":2,"name":"小張"} {"id":3,"name":"小劉"} {"id":4,"n

栗筝i 2020-07-02 07:40:32

Flume常見面試題

一、Flume 組成、Put 事務、Take 事務 Taildir Source:斷點續傳、多目錄。Flume1.6 以前需要自己自定義 Source 記錄每次讀取文件位置,實現斷點續傳。 File Channel:數據存儲在磁盤

火成哥哥 2020-07-02 04:00:39