[日志处理工作之二]使用flume-ng解析db2日志的初步步骤

最新推荐文章于 2021-06-08 09:15:41 发布
最新推荐文章于 2021-06-08 09:15:41 发布
阅读量1.6k 收藏
点赞数
分类专栏: 大规模日志处理 文章标签: flume-ng db2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bigstar863/article/details/46683975
版权
1.flume一般按行为单位封装一个event,并对event进行消费、过滤、拦截。针对DB2的日志,多行为一个event,而且行数不一致,所以我们最好定制自己的source component,我简单修改了flume exec的源码初步实现了将多行封装成一个event的需求,后面要专门写一个功能完善的custom source component.
   此处我修改的是flume-ng-core\src\main\java\org\apache\flume\source\ExecSource.java中的337-344行代码,重新编译。


2.flume 有抽取event message中的链式interceptors,使用正则表达式匹配,配置文件如下:
agent.sources=source1
agent.channels=channel1
agent.sinks=sink1


agent.sources.source1.type = exec
agent.sources.source1.command = tail -F /db2fs/home/db2inst1/sqllib/db2dump/db2diag.log
agent.sources.source1.interceptors = i1 i2 i3 i4 i5 i5 i6 i7 i8 i9 i10 i11 i12 i13 i14 i15 i16


agent.sources.source1.interceptors.i1.type=regex_extractor
agent.sources.source1.interceptors.i1.regex =([0-9]{4}-[0-9]{2}-[0-9]{2}-[0-9]{2}.[0-9]{2}.[0-9]{2}.[0-9]{6}[+][0-9]{3})\\s+
agent.sources.source1.interceptors.i1.serializers=s1
agent.sources.source1.interceptors.i1.serializers.s1.name=TIME


agent.sources.source1.interceptors.i2.type=regex_extractor
agent.sources.source1.interceptors.i2.regex =\\s+([A-Z0-9]+)\\s+LEVEL
agent.sources.source1.interceptors.i2.serializers=s1
agent.sources.source1.interceptors.i2.serializers.s1.name=ID


agent.sources.source1.interceptors.i3.type=regex_extractor
agent.sources.source1.interceptors.i3.regex =LEVEL:\\s([A-Z][a-z]+)PID
agent.sources.source1.interceptors.i3.serializers=s1
agent.sources.source1.interceptors.i3.serializers.s1.name=LEVEL


agent.sources.source1.interceptors.i4.type=regex_extractor
agent.sources.source1.interceptors.i4.regex =PID\\s+:\\s+([0-9]{1,5})\\s+TID
agent.sources.source1.interceptors.i4.serializers=s1
agent.sources.source1.interceptors.i4.serializers.s1.name=PID


agent.sources.source1.interceptors.i5.type=regex_extractor
agent.sources.source1.interceptors.i5.regex =TID\\s+:\\s+([0-9]{15})\\s+PROC
agent.sources.source1.interceptors.i5.serializers=s1
agent.sources.source1.interceptors.i5.serializers.s1.name=TID


agent.sources.source1.interceptors.i6.type=regex_extractor
agent.sources.source1.interceptors.i6.regex =PROC\\s+:\\s+([a-z0-9]+\\s*[0-9]*)
agent.sources.source1.interceptors.i6.serializers=s1
agent.sources.source1.interceptors.i6.serializers.s1.name=PROC


agent.sources.source1.interceptors.i7.type=regex_extractor
agent.sources.source1.interceptors.i7.regex =INSTANCE:\\s+([a-z0-9]+)\\s+
agent.sources.source1.interceptors.i7.serializers=s1
agent.sources.source1.interceptors.i7.serializers.s1.name=INSTANCE


agent.sources.source1.interceptors.i8.type=regex_extractor
agent.sources.source1.interceptors.i8.regex =NODE\\s+:\\s([0-9]{3})
agent.sources.source1.interceptors.i8.serializers=s1
agent.sources.source1.interceptors.i8.serializers.s1.name=NODE


agent.sources.source1.interceptors.i9.type=regex_extractor
agent.sources.source1.interceptors.i9.regex =NODE\\s+:\\s[0-9]{3}\\s*DB\\s+:\\s+([A-Z]{4})
agent.sources.source1.interceptors.i9.serializers=s1
agent.sources.source1.interceptors.i9.serializers.s1.name=DB


agent.sources.source1.interceptors.i10.type=regex_extractor
agent.sources.source1.interceptors.i10.regex =APPHDL\\s+:\\s+([0-9]+-[0-9]+)\\s*
agent.sources.source1.interceptors.i10.serializers=s1
agent.sources.source1.interceptors.i10.serializers.s1.name=APPHDL


agent.sources.source1.interceptors.i11.type=regex_extractor
agent.sources.source1.interceptors.i11.regex =APPID:\\s+(.[A-Z]+\.[0-9a-z]+\.[0-9]+)\\s*
agent.sources.source1.interceptors.i11.serializers=s1
agent.sources.source1.interceptors.i11.serializers.s1.name=APPID


agent.sources.source1.interceptors.i12.type=regex_extractor
agent.sources.source1.interceptors.i12.regex =AUTHID\\s+:\\s+([0-9A-Z]{7}[0-9])\\s+
agent.sources.source1.interceptors.i12.serializers=s1
agent.sources.source1.interceptors.i12.serializers.s1.name=AUTHID


agent.sources.source1.interceptors.i13.type=regex_extractor
agent.sources.source1.interceptors.i13.regex =HOSTNAME:\\s+([a-zA-Z0-9.]+)[A-Z]+
agent.sources.source1.interceptors.i13.serializers=s1
agent.sources.source1.interceptors.i13.serializers.s1.name=HOSTNAME


agent.sources.source1.interceptors.i14.type=regex_extractor
agent.sources.source1.interceptors.i14.regex =EDUID\\s+:\\s+([0-9]+)
agent.sources.source1.interceptors.i14.serializers=s1
agent.sources.source1.interceptors.i14.serializers.s1.name=EDUID


agent.sources.source1.interceptors.i15.type=regex_extractor
agent.sources.source1.interceptors.i15.regex =EDUNAME:\\s+([a-z0-9]+\\s*[\(a-zA-Z\)]*\\s0)\\s*[A-Z]+
agent.sources.source1.interceptors.i15.serializers=s1
agent.sources.source1.interceptors.i15.serializers.s1.name=EDUNAME


agent.sources.source1.interceptors.i16.type=regex_extractor
agent.sources.source1.interceptors.i16.regex =FUNCTION:\\s+(DB2\\s+[A-Z]+,[ a-zA-Z]+,[ a-zA-Z_/:]+,\\sprobe:[0-9]+)
agent.sources.source1.interceptors.i16.serializers=s1
agent.sources.source1.interceptors.i16.serializers.s1.name=FUNCTION


agent.channels.channel1.type=memory
agent.channels.channel1.capacity=1000
agent.channels.channel1.transactionCapacity=100


agent.sources.source1.channels=channel1
agent.sinks.sink1.channel=channel1


#agent.sinks.sink1.type=logger
agent.sinks.sink1.type=org.apache.flume.sink.elasticsearch.ElasticSearchSink
agent.sinks.sink1.batchSize=100
agent.sinks.sink1.hostNames=X.X.X.X:9300
agent.sinks.sink1.indexName=flume-db2
agent.sinks.sink1.indexType=bar_type
agent.sinks.sink1.clusterName=elasticsearch
agent.sinks.sink1.serializer=org.apache.flume.sink.elasticsearch.ElasticSearchLogStashEventSerializer


3.另外flume有多种interceptor可以对event中的message进行整理,后面继续研究


老张去哪儿
关注
专栏目录
db2日志分析笔记
MJ的博客
04-10 3824
这几天又回去做db2日志分析,由于db2自带了日志分析的api接口,所以先打算跑一跑看什么情况,不过这个api接口是用c写的,赤裸裸的硬伤,但也只能硬上了。         先到例子目录,执行一下例子         输出如下
Hadoop详解(七)——Hive的原理和安装配置和UDF,flume的安装和配置以及简单使用flume+hive+Hadoop进行日志处理
09-05 2974
hive简介什么是hive?① hive是建立在Hadoop上的数据仓库基础架构。它提供了一系列的工具,可以用来进行数据提取转换加载(ETL),这是一种可以存储、查询和分析存储在Hadoop中的大规模数据的机制。hive定义了简单的类似于SQL的查询语言称为QL,它允许熟悉SQL的用户查询数据。同时这种语言也允许熟悉MapReduce的开发者进行开发自定义的mapper和reducer来处理内建的
[日志处理工作之三]使用flume采集DB2日志推送到kafka,并使用spark streaming拉取指定topic的日志
bigstar863的博客
06-29 3096
实现了通过flume-ngDB2日志推入Kafka,用spark streaming订阅kafka中相应的topic,将指定的信息,比如level级别是warning的,message发送给指定邮箱
db2抓取日志
爱于心健于行
07-17 335
完成db2 trace 的步骤 1.db2trc on -1 4000000 -e -1 2.重现你所碰到的问题 3.db2trc dumb db2trc. dmp 4.db2trc off 5.db2trc fmt db2trc.dmp db2trc. fmt 6.db2trc. flw db2trc. dmp db2trc. flw 在成功完成...
db2 日志详解 --参数设置方法和解释
11-05
db2 日志详解 里边包含有对数据库配置文件中有关日志的一些参数设置方法和解释
大数据-案例-离线数仓-电商:【MySQL(业务)-ETL(Kettle)】+【前端JS埋点->日志->Flume->HDFS->ETL(SparkRDD)】->Hive数仓->MySQL->可视化
u013250861的博客
01-30 1983
大数据-BI案例(二)-电商:数据仓库+OLAP【MySQL-ETL(Kettle)-> Hive(ODS层-数据清洗->DW层(DWD-统计分析->DWS))-导出结果->MySQL】-> 可视化
3.2.4 数据交互工具 -- HUE、数据采集工具 -- Flume
weixin_47134119的博客
02-07 1263
文章目录数据交互工具 -- HUE第一部分 Hue概述第二部分 Hue编译安装2.1、下载软件包2.2、安装依赖2.3、安装Maven2.4、编译2.5、修改 Hadoop 配置文件2.6、Hue配置2.7、启动 Hue 服务第三部分 Hue整合Hadoop、Hive3.1 集成HDFS、YARN3.2 集成Hive3.3 集成MySQL3.4 重启Hue服务数据采集工具 -- Flume第一部分 Flume概述第 1 节 Flume的定义第 2 节 Flume体系结构Flume架构中的组件第 3 节 F.
一次flume exec source采集日志到kafka因为单条日志数据非常大同步失败的踩坑带来的思考
HuaZi_Myth的博客
11-07 4497
本次遇到的问题描述,日志采集同步时,当单条日志日志文件中一行日志)超过2M大小,数据无法采集同步到 kafka,分析后,共踩到如下几个坑。 1、flume采集时,通过shell+EXEC(tail -F xxx.log 的方式) source来获取日志时,当单条日志过大超过1M时,source端无法从日志中获取到Event。 2、日志超过1M后,flume的kafka sink 作为生产者发送给...
2021-02-26~27~28 大数据课程笔记 day37day38day39
qq_44745905的博客
02-28 3556
@R星校长 音乐数据中心平台 1.1 数据库与ER建模 1.1.1 数据库(DataBase) 数据库是按照数据结构来组织、存储和管理数据的仓库,是一个长期存储在计算机内的、有组织的、可共享的、统一管理的大量数据的集合。 数据库是以一定方式储存在一起、能与多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合,可视为电子化的文件柜,存储电子文件的处所,用户可以对文件中的数据进行新增、查询、更新、删除等操作,数据组织主要是面向事务处理任务。 1.1.2 数据库三范式 关系型数据库设计时,遵照一定的.
flume学习(四):Flume Interceptors的使用
热门推荐
xiao_jun_0820的专栏
07-25 3万+
对于flume拦截器,我的理解是:
flume学习(九):自定义拦截器
wang_zhenwei的博客
09-30 1097
1.如何添加拦截器RegexExtractorExtInterceptor? 2.改动的内容中是如何增加两个配置参数? 还是针对学习八中的那个需求,我们现在换一种实现方式,采用拦截器来实现。 先回想一下,spooldir source可以将文件名作为header中的key:basename写入到event的header当中去。试想一下,如果有一个拦截器可以
使用 db2diag 工具来分析 db2diag 日志文件
jiangxixiaolinzi的博客
06-08 1403
供数据库和系统管理员使用的主日志文件为管理通知日志db2diag日志文件旨在供 IBM 软件支持机构用于进行故障诊断。 管理通知日志消息也以标准化消息格式记录到db2diag日志文件。 db2diag工具用于对db2diag日志文件中的大量信息进行过滤和格式化。过滤db2diag日志文件记录可缩短诊断问题时查找所需记录的时间。 示例 1:按数据库名称过滤db2diag日志文件 如果实例中有若干数据库,并且您只希望显示与数据库“SAMPLE”有关的信息,那么可以按如下所...
Flume<自定义Source和拦截器实现抓取异常多行日志>
Gpwner的博客
05-06 4603
假设现在有一个日志文件test.log,文件中的内容如下: 现在的需求是需要将日志通过Flume收集上来,在HDFS进行分区,比如 2016-07-08/INFO 2016-07-08/DEBUG 2016-07-08/WARN 2016-07-08/ERROR方法一:自定义Source在GitHub上看到有人自定义了Source,其核心思想是:如果当前有两行记录,如果两行记录都是“正常”
sqoop从db2导入到hive问题
love_jv的博客
10-20 684
[size=x-small]我今天从db2导一张表到hive中,导入完成后,发现hive中表的条目数和db2源表的条目数不相同,hive中表的数据量比db2中的数据量多,而且cust_name这个字段是存储客户名称的,客户的名称也被截断了,比如名称叫“胡雪” 的客户,当抽取到hive中的时候,就变成“胡 ”了,不知到什么原因,有遇到同样的问题吗?...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

老张去哪儿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值