关于Flume,官方定义如下:

Apache Flume is a distributed, reliable, and available system for efficiently collecting, aggregating and moving large amounts of log data from many different sources to a centralized data store.

The use of Apache Flume is not only restricted to log data aggregation. Since data sources are customizable, Flume can be used to transport massive quantities of event data including but not limited to network traffic data, social-media-generated data, email messages and pretty much any data source possible.

Flume是分布式海量日志收集工具,根据不同的数据来源,Flume并不局限于对日志的收集。

flume有如下特性:

  • 内置对多种source和目标类型的支持
  • 支持水平扩展
  • 支持多种传输方式,例如:multi-hop flows, fan-in fan-out flows, ****...
  • 支持contextual routing
  • 支持拦截器
  • 可靠传递。在flume中每个事件有两个事务,分别在send和receive阶段。 sender发送事件给receiver。接收到数据后,receiver提交自己的事务并发送一个成功信号给sender。sender收到该信号后提交自己的事务。

话说Flume最初是为了从多个web服务把数据流复制到HDFS而设计的,那为什么不直接用put把数据放到HDFS? 假如我们有对快速增长的数据进行实时分析的需求,put过来的数据已经不是实时的了。
同样的,rsync、scp这样的工具也是一样的道理,并不适合实时分析的场景。

下图是比较常见的部署方式,以此说明Flume的相关概念:

                    +--------------------------------------------+

                    |                                            |

                    |  +---------------+                         |

                    |  |               |                         |

          +----------> |    agent1     +-------------+           |

          |         |  |               |             |           |

          |         |  +---------------+             |           |

          |         |                                |           |

+---------+----+    |  +---------------+     +-------v-------+   |    +--------------+

|              |    |  |               |     |               |   |    |              |

|  generators  +-----> |    agent2     +---> |   collector   +------> | centrialized |

|              |    |  |               |     |               |   |    |    store     |

+---------+----+    |  +---------------+     +-------^-------+   |    +--------------+

          |         |                                |           |

          |         |  +---------------+             |           |

          |         |  |               |             |           |

          +----------> |    agent3     +-------------+           |

                    |  |               |                         |

                    |  +---------------+                         |

                    |                                            |

                    +--------------------------------------------+

图中data generator为数据源,它可以是一个接口、队列、文件等。
Flume的agent做为一个独立的进程,从数据源收集数据。
后面的collector事实上也是一个agent,只是将前面agent的输出做为数据源,并对数据进行聚合,最后发送到一个中心存储,比如HDFS。

event在Flume中是数据传输的基本单位,由header和byte payload组成,agent之间传递的就是一个个event。

一个agent包含3个组件,分别为source、channel、sink,一个agent可以有多个source、sink、channel:

+----------+

|  source  |

+-------+--+

        |

     +--v----+

     |   C   |

     |   H   |

     |   A   |

     |   N   |

     |   N   |

     |   E   |

     |   L   |

     +-----+-+

           |

        +--v-----+

        |  sink  |

        +--------+

  • Source: 用于从数据源接收数据,并将数据传给至少一个channel。Flume支持多种source类型。

  • Channel: 可以把channel理解为一个buffer,或者也可以把channel理解为source和sink之间的一座桥。channel也有多种类型,例如JDBC、file、memory...

  • Sink: sink从channel获取数据并发送到目标,目标也可以是一个agent。

通常来说,source,channel,sink可以满足大多数需求,此外还有一些组件用于应付特殊场景。

  • Interceptor: 可以在source和channel之间进行拦截。
  • Selector: 当一个source关联了两个channel,同一份event应该同时发给两个channel,还是有针对性的发给其中一个channel,selector可以做到这一点。
  • Sink Processor: 当配置了一个sink group,我们可以用sink processor进行故障转移和负载均衡。

基本用法

安装没什么特别的操作,参考:

cd /usr/local

wget http://www-us.apache.org/dist/flume/1.7.0/apache-flume-1.7.0-bin.tar.gz

tar xzvf apache-flume-1.7.0-bin.tar.gz

mv apache-flume-1.7.0-bin flume

cd flume

cp flume-conf.properties.template flume-conf.properties

cp flume-env.sh.template flume-env.sh

如果已经安装过Java则再好不过,但要记得export JAVA_HOME:

export JAVA_HOME=/usr/local/jdk1.7.0_75

Flume的配置会根据source和sink的类型会稍有不同,总体而言,无非以下几项:

  • 为agent和其各个组件命名
  • 配置source
  • 配置sink
  • 配置channel
  • 给channel绑定source和sink

下面是Flume支持的source、channel、sink类型:

source channel sink
Avro Source Memory Channel HDFS Sink
Thrift Source JDBC Channel Hive Sink
Exec Source Kafka Channel Logger Sink
JMS Source File Channel Avro Sink
Spooling Directory Source Spillable Memory Channel Thrift Sink
Twitter 1% firehose Source Pseudo Transaction Channel IRC Sink
Kafka Source   File Roll Sink
NetCat Source   Null Sink
Sequence Generator Source   HBaseSink
Syslog Sources   AsyncHBaseSink
Syslog TCP Source   MorphlineSolrSink
Multiport Syslog TCP Source   ElasticSearchSink
Syslog UDP Source   Kite Dataset Sink
HTTP Source   Kafka Sink
Stress Source    
Legacy Sources    
Thrift Legacy Source    
Custom Source    
Scribe Source    

不同的类型可能会有一些特殊的选项,比如Kafka Source需要指定broker地址、topics等。
这里找一个易上手的source类型,运行看看效果。

以netcat为例,在conf中加入netcat2logger.conf,内容如下:

# naming

nc.sources = s_netcat

nc.channels = c_mem

nc.sinks = k_logger

# source

nc.sources.s_netcat.type = netcat

nc.sources.s_netcat.bind = localhost

nc.sources.s_netcat.port = 6666

# sink

nc.sinks.k_logger.type = logger

# channel

nc.channels.c_mem.type = memory

nc.channels.c_mem.capacity = 1000

nc.channels.c_mem.transactionCapacity = 100

# bind

nc.sources.s_netcat.channels = c_mem

nc.sinks.k_logger.channel = c_mem

启动flume-ng,参考:

bin/flume-ng agent -n nc -f conf/netcat2logger.conf -Dflume.root.logger=INFO,console

打开telnet,试试输入一些内容:

curl telnet://localhost:6666

上面的例子比较容易上手,但看起来并没有什么用处。
下面再贴出一个比较有用例子,假如我有多个nginx实例在分别不同的机器上,我打算把access log的内容实时传给Kafka。
这样我可以给每台机器配置一个agent,并且将本地日志文件作为source,Kafka作为sink。

配置参考:

t2k.sources=s1

t2k.channels=c1

t2k.sinks=k1

t2k.sources.s1.type=exec

t2k.sources.s1.command=tail -f /usr/local/openresty/nginx/logs/access.log

t2k.channels.c1.type=memory

t2k.channels.c1.capacity=10000

t2k.channels.c1.transactionCapacity=1000

t2k.sinks.k1.type=org.apache.flume.sink.kafka.KafkaSink

t2k.sinks.k1.kafka.topic=my-topic

t2k.sinks.k1.kafka.bootstrap.servers=localhost:9092

t2k.sinks.k1.flumeBatchSize=20

t2k.sources.s1.channels=c1

t2k.sinks.k1.channel=c1

启动命令参考:

bin/flume-ng agent -n t2k -f conf/tail2Kafka.conf

Flow与Selector

"在一个agent中定义flow",换句话说就是"将source和sink用channel连接起来"。
所以说,虽然在上面的例子中没有做flow相关的配置,但事实上我们用的是default flow

Flow表达的是event的流向,例如:

  • 从一个source流向多个agent,agent的sink各不相同。
  • 从一个agent流向另一个agent。
  • 从一个source流向多个channel,e.g. fanout、fanin...

这里我们以fanout为例,从一个source流向多个channel。
但是需要考虑一个问题,这几个channel应该作为worker分摊从同一个source过来的event,还是说作为subscriber监听到相同的event?
这就需要用到另外一个概念——selector

所以,selector只有两种类型:

  • multiplexer
  • replicating(default)

两种类型的功能顾名思义,下面举例说明一下。
假设我对一个source配置了replicating selector,该source关联了两个channel,两个channel分别关联两个sink,两个sink输出到不同的目标。
但这样做的效果并不明显,从结果来看,和将两个sink关联到同一个channel没什么区别。

所以我需要一个机制让来自同一个source的event分开流向不同的channel,但这里就需要考虑一个问题——根据什么决定event的流向?

答案是根据header中的属性,为channel设置相关属性值,匹配则流向对应的channel。

参考格式如下:

<Agent>.sources.<Source1>.selector.type = multiplexing

<Agent>.sources.<Source1>.selector.header = <someHeader>

<Agent>.sources.<Source1>.selector.mapping.<Value1> = <Channel1>

<Agent>.sources.<Source1>.selector.mapping.<Value2> = <Channel1> <Channel2>

<Agent>.sources.<Source1>.selector.mapping.<Value3> = <Channel2>

<Agent>.sources.<Source1>.selector.default = <Channel2>

所谓optional,就是说selector先试图写到相关的channel,如果事务失败则写入optional channel,如果optional也失败,则忽略。

下面继续用http source写一个例子,根据header流向两个不同的channel,两个channel分别对应两个file sink。

http2logger.conf,参考如下:

HttpAgent.sources = HttpSource

HttpAgent.channels = AChannel BChannel

HttpAgent.sinks = ASink BSink

HttpAgent.sources.HttpSource.type = http

HttpAgent.sources.HttpSource.port = 6666

HttpAgent.sources.HttpSource.selector.type = multiplexing

HttpAgent.sources.HttpSource.selector.header = Host

HttpAgent.sources.HttpSource.selector.mapping.A = AChannel

HttpAgent.sources.HttpSource.selector.mapping.B = BChannel

HttpAgent.sources.HttpSource.selector.mapping.C = AChannel BChannel

HttpAgent.sources.HttpSource.channels = AChannel BChannel

HttpAgent.channels.AChannel.type = memory

HttpAgent.channels.BChannel.type = memory

HttpAgent.sinks.ASink.type = logger

HttpAgent.sinks.ASink.channel = AChannel

HttpAgent.sinks.BSink.type = file_roll

HttpAgent.sinks.BSink.channel = BChannel

HttpAgent.sinks.BSink.sink.directory = /var/b

启动:

bin/flume-ng agent -n HttpAgent --conf conf -f conf/http2logger.conf -Dflume.root.logger=INFO,console

测试:

curl -X post localhost:6666 -d '[{"headers": {"Host": "A"}, "body": "this is for A"}]'

curl -X post localhost:6666 -d '[{"headers": {"Host": "B"}, "body": "this is for B"}]'

curl -X post localhost:6666 -d '[{"headers": {"Host": "C"}, "body": "this is for C"}]'

Interceptor

假如我希望event header的符合某个条件时丢弃该event,可能我还需要设置一个selector,并让该event流向一个null sink?
甚至,如果想修改某个event...这时需要用到interceptor。
Flume为我们提供了几种常见的interceptor实现,不同的interceptor会有一些额外的参数,如下:

implement desc
Timestamp Interceptor 将timestamp写入header
Host Interceptor 将ip地址或host写入header
Static Interceptor 定义一个常量写入header
UUID Interceptor 将UUID写入header
Morphline Interceptor 根据声明的morphline配置文件进行基本的ETL
Search and Replace Interceptor 根据声明的regex替换内容
Regex Filtering Interceptor 根据声明的regex过滤event
Regex Extractor Interceptor 将匹配regex的group写入header

配置interceptor和配置channel一样,多个interceptor需要用空格隔开。
但需要注意,interceptor的声明顺序即执行顺序。
比如配置一个HostInterceptor,参考:

a1.sources = r1

a1.sinks = k1

a1.channels = c1

a1.sources.r1.interceptors = i1 i2

a1.sources.r1.interceptors.i1.type = org.apache.flume.interceptor.HostInterceptor$Builder

a1.sources.r1.interceptors.i1.preserveExisting = false

a1.sources.r1.interceptors.i1.hostHeader = hostname

a1.sources.r1.interceptors.i2.type = org.apache.flume.interceptor.TimestampInterceptor$Builder

a1.sinks.k1.filePrefix = FlumeData.%{CollectorHost}.%Y-%m-%d

a1.sinks.k1.channel = c1

虽然Flume提供了几种Interceptor实现,但偶尔也需要根据自己的需求实现,接口为org.apache.flume.interceptor.Interceptor

依赖:

compile group: 'org.apache.flume', name: 'flume-ng-core', version: '1.7.0'

这里写一个没什么用的例子,但可以说明相关方法和读取选项的问题:

package com.kavlez.flume.interceptor;

import org.apache.flume.Context;

import org.apache.flume.Event;

import org.apache.flume.interceptor.Interceptor;

import java.util.List;

public class IllusionInterceptor implements Interceptor{

    public static class Builder implements Interceptor.Builder{

        private boolean isAllIllusion = false;

        @Override

        public Interceptor build() {

            return new IllusionInterceptor(isAllIllusion);

        }

        @Override

        public void configure(Context context) {

            this.isAllIllusion = context.getBoolean("illusion");

        }

    }

    private boolean isAllIllusion;

    public IllusionInterceptor(boolean isAllIllusion) {

        this.isAllIllusion = isAllIllusion;

    }

    @Override

    public void initialize() {

    }

    @Override

    public Event intercept(Event event) {

        byte[] modifiedEvent = "Everything is an Illusion".getBytes();

        event.setBody(modifiedEvent);

        return event;

    }

    @Override

    public List<Event> intercept(List<Event> list) {

        for (Event event : list) {

            this.intercept(event);

        }

        return list;

    }

    @Override

    public void close() {

    }

}

编译后的jar需要放到/path/to/flume/lib/.下即可。

Flume使用说明的更多相关文章

  1. flume 1.4的介绍及使用示例

    flume 1.4的介绍及使用示例 本文将介绍关于flume 1.4的使用示例,如果还没有安装flume的话可以参考:http://blog.csdn.net/zhu_xun/article/deta ...

  2. flume日志采集

    1.  Log4j Appender 1.1.  使用说明 1.1.2.  Client端Log4j配置文件 (黄色文字为需要配置的内容) log4j.rootLogger=INFO,A1,R # C ...

  3. flume原理

    1. flume简介 flume 作为 cloudera 开发的实时日志收集系统,受到了业界的认可与广泛应用.Flume 初始的发行版本目前被统称为 Flume OG(original generat ...

  4. 聊聊Flume和Logstash的那些事儿

    在某个Logstash的场景下,我产生了为什么不能用Flume代替Logstash的疑问,因此查阅了不少材料在这里总结,大部分都是前人的工作经验下,加了一些我自己的思考在里面,希望对大家有帮助. 本文 ...

  5. Flume自定义拦截器(Interceptors)或自带拦截器时的一些经验技巧总结(图文详解)

    不多说,直接上干货! 一.自定义拦截器类型必须是:类全名$内部类名,其实就是内部类名称 如:zhouls.bigdata.MySearchAndReplaceInterceptor$Builder 二 ...

  6. Flume 自定义拦截器 多行读取日志+截断

    前言: Flume百度定义如下: Flume是Cloudera提供的一个高可用的,高可靠的,分布式的海量日志采集.聚合和传输的系统,Flume支持在日志系统中定制各类数据发送方,用于收集数据:同时,F ...

  7. Atitit.项目修改补丁打包工具 使用说明

    Atitit.项目修改补丁打包工具 使用说明 1.1. 打包工具已经在群里面.打包工具.bat1 1.2. 使用方法:放在项目主目录下,执行即可1 1.3. 打包工具的原理以及要打包的项目列表1 1. ...

  8. Flume1 初识Flume和虚拟机搭建Flume环境

    前言:       工作中需要同步日志到hdfs,以前是找运维用rsync做同步,现在一般是用flume同步数据到hdfs.以前为了工作简单看个flume的一些东西,今天下午有时间自己利用虚拟机搭建了 ...

  9. awk使用说明

    原文地址:http://www.cnblogs.com/verrion/p/awk_usage.html Awk使用说明 运维必须掌握的三剑客工具:grep(文件内容过滤器),sed(数据流处理器), ...

随机推荐

  1. ELF文件格式分析--结构篇

    ELF文件格式,全称为Excutable and Linking Format,是一个开放的可执行文件和链接文件格式,在LINUX上很流行,跨平台软件的设计也多以ELF格式作为标准,其结构扩展性兼容性 ...

  2. iOS 程序测试、程序优化、提交前检测

    1. 数据显示如果是数值要考虑到0的情况 2. 数据变化对前一个页面及相关页面的影响,也即数据同步问题.如果是有其它设备改变数据,那数据请求就应该在willappear(视图将要显示事件)进行请求,以 ...

  3. redis 高级配置

    一.安全性 设置密码:在配置文件中设置 requirepass 123456 由于redis的速度非常快,每秒可以进行15万次的暴力破解,所以密码设置要强壮些 在客户端登录或者连接的时候,使用 aut ...

  4. 简述Hibernate三种开发方式

    1.由domain object->mapping->db(官方推荐) 2.由db开始,用工具生成mapping和domain object(使用较多) 3.由映射文件开始

  5. 在Cocos2d-x中实现较为真实的云彩效果

    [前言] 这个效果是公司里上一个项目中用到的.因为项目已经死掉了,并且效果是我自己实现的,与其连着项目工程一起删掉,不如所以共产主义一下给大家作参考. 使用版本:cocos 2d-x 3.6(适用于所 ...

  6. @dynamic、@synthesize

    声明property属性后,有2种实现选择: @synthesize 编译器期间,让编译器自动生成getter/setter方法. 当有自定义的存或取方法时,自定义会屏蔽自动生成该方法 @dynami ...

  7. java IMAGEIO

    javax.imageio使用 ImageIO 类的静态方法可以执行许多常见的图像 I/O 操作. 此包包含一些基本类和接口,有的用来描述图像文件内容(包括元数据和缩略图)(IIOImage): 有的 ...

  8. js blob

    Blob 是什么? 这里说的是一种JavaScript的对象类型. Oracle 中也有类似的栏位类型. 在 [JS进阶] HTML5 之文件操作(file) 这一篇中用到了File对象,而实际上 f ...

  9. Java Web快速入门——全十讲

    Java Web快速入门——全十讲 这是一次培训的讲义,就是我在给学生讲的过程中记录下来的,非常完整,原来发表在Blog上,我感觉这里的学生可能更需要. 内容比较长,你可以先收藏起来,慢慢看. 第一讲 ...

  10. spring mvc controller中获取request head内容

    spring mvc controller中获取request head内容: @RequestMapping("/{mlid}/{ptn}/{name}") public Str ...