pyspark学习笔记:filebeat收集日志通过kafka发送spark存入es-2023-2-18

最新推荐文章于 2024-06-01 17:36:01 发布
最新推荐文章于 2024-06-01 17:36:01 发布
阅读量292 收藏
点赞数
分类专栏: 大数据学习笔记 ELK学习笔记 文章标签: kafka spark elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feifeileill/article/details/129105919
版权

filebeat收集日志通过kafka发送spark存入es

filebeat收集日志通过kafka发送spark存入es

介绍:将filebeat收集的日志数据,接入spark进行更多处理,最后存入ES便于数据分析。
主要内容:

  1. filebeat发送至kafka的配置文件
  2. pyspark结构化流读取kafka
  3. pyspark结构化流存入Elasticsearch

启动zookeeper和kafka

# zookeeper启动
/software/server/zookeeper/apache-zookeeper-3.5.9-bin/bin/zkServer.sh start

# kafka前台:看日志
/software/server/kafka/kafka_2.11-2.4.1/bin/kafka-server-start.sh /software/server/kafka/kafka_2.11-2.4.1/config/server.properties

# kafka后台
nohup /software/server/kafka/kafka_2.11-2.4.1/bin/kafka-server-start.sh /software/server/kafka/kafka_2.11-2.4.1/config/server.properties 2>&1 &

filebeat数据发送kafka

vim /etc/filebeat/filebeat.yml
==========================
processors:
  - rename:
      fields:
        - from: "message"
          to: "originallog"
      ignore_missing: false
      fail_on_error: true
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/messages*
output.kafka:
  # initial brokers for reading cluster metadata
  hosts: ["centos7:9092"]
  # message topic selection + partitioning
  topic: "test01"
  partition.round_robin:
    reachable_only: false
  required_acks: 1
  compression: gzip
  max_message_bytes: 1000000
========================
filebeat -e -c /etc/filebeat/filebeat.yml

结构化流:接入kafka的数据

import os
from pyspark.sql import SparkSession, DataFrame
import pyspark.sql.functions as F

os.environ['SPARK_HOME'] = '/software/server/spark/spark-2.4.5-bin-hadoop2.7'
os.environ['PYSPARK_PYTHON'] = '/software/server/miniconda3/bin/python3.7'
os.environ['JAVA_HOME'] = '/software/server/java/jdk1.8.0_221'

""" 连接kafka """
spark = SparkSession \
    .builder \
    .appName("test0218") \
    .getOrCreate()

df = spark.readStream \
    .format('kafka') \
    .option('subscribe', 'test01') \
    .option('kafka.bootstrap.servers', 'centos7:9092') \
    .load()

结构化流:写入ES数据库

def process(df: DataFrame, batch_id: int):
    """foreachBatch 批处理"""
    df.select(F.json_tuple(F.expr("cast(value as string)"), "host", "log", "originallog")) \
        .withColumn("c0", F.json_tuple(F.expr("cast(c0 as string)"), "name")) \
        .withColumn("c1", F.json_tuple(F.expr("cast(c1 as string)"), "file")) \
        .withColumn("c1", F.json_tuple(F.expr("cast(c1 as string)"), "path")) \
        .withColumnRenamed("c0", "hostname") \
        .withColumnRenamed("c1", "path") \
        .withColumnRenamed("c2", "originallog") \
        .withColumnRenamed("c2", "originallog") \
        .withColumn("date", F.current_timestamp().cast("string")) \
        .write.format("org.elasticsearch.spark.sql")\
        .option('es.resource', "test-0002/_doc")\
        .option("es.nodes", "192.168.174.133")\
        .option("es.port", "9200") \
        .option("es.nodes.wan.only", "true")\
        .option("es.write.operation", "create")\
        .option("es.index.auto.create", "true")\
        .mode("Append") \
        .save()

es参数

.option("es.mapping.id", "logid")  # 可以自定义唯一标识、选择更新方式,这里选择不设置,ES会自动生成
.option("es.write.operation", "create")
# 应该执行弹性搜索-hadoop的写操作-可以是以下任意一种:
index (默认):添加新数据,同时替换(重新索引)现有数据(基于其ID)。
create:添加新数据-如果数据已经存在(基于其ID),则会引发异常。
update:更新现有数据(基于其ID)。如果找不到数据,则引发异常。
upsert:如果数据不存在,则 称为合并或插入;如果数据存在(根据其ID),则更新

设置间隔时间

query = df.writeStream \
    .outputMode('append') \
    .foreachBatch(process) \
    .trigger(processingTime='5 seconds') \
    .start() \
    .awaitTermination()

最终效果

启动zk和kafka,运行python程序,然后再启动filebeat。日志数据处理后效果如下。

{
"_index": "test-0002",
"_type": "_doc",
"_id": "x-wAZYYBDqFO3CbSSKO8",
"_version": 1,
"_score": 1,
"_source": {
"hostname": "centos7",
"path": "/var/log/messages-20230212",
"originallog": "Feb 8 21:20:56 localhost kernel: SRAT: PXM 0 -> APIC 0x6b -> Node 0",
"date": "2023-02-18 22:49:20.235"
}
}
Merlin雷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kafka-connect-elasticsearch-source:Kafka Connect Elasticsearch
05-07
Kafka-connect-elasticsearch-source Kafka Connect Elasticsearch来源:从elastic-search获取数据并将其发送kafka。 连接器仅使用严格的增量/时间字段(例如时间戳或增量ID)来获取新数据。 它支持动态模式和...
kafka-schema-registry-client-6.2.2.jar
04-25
mvn install:install-file -DgroupId=io.confluent -DartifactId=kafka-schema-registry-client -Dversion=6.2.2 -Dfile=/root/kafka-schema-registry-client-6.2.2.jar -Dpackaging=jar 官网下载地址 packages....
filebeat采集日志数据到kafka(一)(filebeat->kafka->logstash->es
qq_43700739的博客
05-23 3023
一、filebeat安装 filebeat-kafka版本适配 1、安装包下载 https://www.elastic.co/cn/downloads/past-releases#filebeat 解压 2、新建yml配置文件,如test.yml filebeat.prospectors: - input_type: log paths: - /data/test.log #配置需要采集的日志文件的全路径 document_type: "testtype" #
elk:使用filebeat采集日志发送kafka
最新发布
陈鸿圳的专栏
06-01 367
下载解压修改配置文件启动filebeat
快速搭建轻量级日志采集系统 filebeat读取日志文件到kafka
weixin_44404862的博客
09-20 1083
快速搭建轻量级日志采集系统 filebeat读取日志文件到kafka 很多日志采集系统比如logstash,比较消耗cpu和内存,如果我们想单纯的采集日志kafka,name使用filebeat会比较适合你 日志采集模式:filebeat->kafka (后续可以根据自己的需求 使用中间件或者flume做数据的清洗再到es) 工具准备: 一:下载filebeat-6-5-3 下载地址: h...
ELFK采集Oracle日志(一):使用Filebeat采集到Kafka
u012173915的专栏
02-21 1073
【操作记录】使用Filebeat采集Oracle日志Kafka
Filebeat读取日志推送kafka(docker-compose)
weixin_49566876的博客
01-04 1008
Filebeat是本地文件的日志数据采集器,可监控日志目录或特定日志文件(tail file),并将它们转发给Elasticsearch或Logstatsh进行索引、kafka等。带有内部模块(auditd,Apache,Nginx,System和MySQL),可通过一个指定命令来简化通用日志格式的收集,解析和可视化。*** kafka常用命令。
spark-streaming-kafka-0-10_2.11-2.4.0-cdh6.1.1.jar
05-14
spark-streaming-kafka-0-10_2.11-2.4.0-cdh6.1.1.jar
使用kafka进行spark-streaming-with:将Apache Spark流与Apache Kafka集成的独立示例
02-05
Apache Spark和Apache Kafka是大数据处理领域中的两个重要组件。Spark以其高效的内存计算和实时处理能力而闻名,而Kafka则是一个强大的分布式消息系统,用于处理海量实时数据流。本示例将详细介绍如何在Scala环境中...
lenses-jdbc-spark:通过JDBC与Kafka一起使用Apache Spark !!!
05-15
标题 "lenses-jdbc-spark:通过JDBC与Kafka一起使用Apache Spark" 提到的是一个集成项目,它旨在利用Java开发的JDBC驱动程序,将Apache Spark与Apache Kafka进行连接。Apache Spark是一个用于大数据处理的开源计算...
47_Flume、Logstash、Filebeat调研报告
05-06
基于flume+kafka+实时计算引擎(storm,spark,flink)的实时计算框架目前是比较火的一个分支,在实时数据采集组件中flume扮演着极为重要角色,logtash是ELK的重要组件部分,filebeat也是一个实时采集工具;
利用logstash/filebeat/插件,将graylog日志传输到kafka
weixin_42478365的博客
08-11 1816
在System-outputs,选择GELF Output,填写如下内容,其它选项默认。也可以使用filebeat日志转发到kafka中,原理一样。在要输出的Stream中,选择Manage Outputs。选择GELF Output,右边选择刚才创建好的test。上传到服务器,编写test.conf配置文件,内容如下。下载logstash,最新版就可以。运行logstash,输入以下命令。前提:安装好kafka集群,最终消息传递到kafka上。
ELK日志分析系统之(Filebeat 收集Nginx日志并写入 Kafka 缓存发送Elasticsearch
zhl52306的博客
02-23 1810
ELK企业级日志分析系统之(Filebeat 收集Nginx日志并写入 Kafka 缓存发送Elasticsearch
Filebeat+Logstash+Elasticsearch收集spark日志分析
qq_32068809的博客
02-02 568
数据流程图如下: 一、配置Filebeat 编辑filebeat.yml文件,内容如下: # ====================== 输入 =============================== filebeat.inputs: - type: log enabled: true paths: - /data/log/hadoop-yarn/hadoop-cmf-yarn-NODEMANAGER*.out - /data/yarn/container-logs...
kafka- elk-filebeat 日志收集
面朝大海,春暖花开
04-30 1139
kafka - 集成 elk+filebeat 日志收集 基于 elasticsearch 7.x 什么是 ELK ? ELK: Elasticsearch + Logstash + Kibana Logstash: 日志读取 FileBeat: 比 Logstash 更轻量级 日志收集流程 流程: fileBeat 从各节点读取日志文件 fileBeat日志写入 kafka logstash 从 kafka 订阅 日志 logstash 将日志写入 elasticsearch kibana 展示
filebeat->kafka>elk日志采集
as875784622的博客
06-21 1012
/可以防止日志爆盘,将所有标准输出及标准错误输出到/dev/null空设备,即没有任何输出信息。//启动logstash --path.data 指定数据存储路径。查看消费者consumer的group列表。查看kafka中指定topic的详情。查看指定的group。
Filebeat+Kafka+ELK日志采集(一)
qq_40774600的博客
09-20 2936
Filebeat实现日志采集,采集指定路径的日志文件,并对日志格式、内容、字段等信息进行处理,发送至消息中间件、或发送至Logstash再次处理,或直接发送存储至Elasticsearch结合Kibana直接展示(本文采用先发送Kafka做异步分流处理,再由Kafka推送至Logstash再次处理,最终发送ES)。
ELK+Filebeat+Kafka日志采集
bright的博客
02-24 1750
我的开源微服务前后端分离博客项目地址,欢迎各位star 博主技术博客地址 欢迎大家进群,一起讨论学习 1.ELK2. ELFK3. 架构演进ELK缺点:ELK架构,并且Spring Boot应用使用 logstash-logback-encoder 直接发送给 Logstash,缺点就是Logstash是重量级日志收集server,占用cpu资源高且内存占用比较高ELFK缺点:一定程度上解决了ELK中Logstash的不足,但是由于Beats 收集的每秒数据量越来越大,Logstash 可能无法承载这么大
ELK日志归集实战:Filebeat-Kafka-Logstash-Elasticsearch链路解析
- **Filebeat**:Filebeat主要用于从服务器上收集日志,将其发送给Logstash或直接发送Elasticsearch。由于其轻量级特性,它适合在多台服务器上部署,以收集大量分散的日志数据。 - **Logstash**:Logstash的强大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值