flume 自定义正则过滤器

最新推荐文章于 2023-05-11 09:38:35 发布
最新推荐文章于 2023-05-11 09:38:35 发布
阅读量607 收藏
点赞数
分类专栏: flume

本文实现:flume 读取日志信息时,通过正则匹配过滤,将匹配到的结果存放在指定文件目录。

本文结构: 
1. 编写自定义过滤器 
2. 编写flume配置文件 
3. 运行测试

日志信息

过滤前:

2017-01-06T11:32:48: Debug: D-UNK-000-000: Rules file processing took 332 usec.
2017-01-06T11:32:48: Debug: D-UNK-000-000: Flushing events to object servers
2017-01-06T11:32:48: Debug: D-UNK-000-000: 1 buffered alerts
2017-01-06T11:33:18: Debug: D-JPR-000-000: Parsing events: Omegamon_Base;cms_hostname='itmserver';cms_port='37076';integration_type='U';master_reset_flag='';appl_label='';situation_name='disk';situation_type='S';situation_origin='itmserver:LZ';situation_time='01/06/2017 11:33:23.000';situation_status='N';situation_thrunode='TEMS_TEST';situation_fullname='home_disk_error';situation_displayitem='';source='ITM';sub_source='itmserver:LZ';hostname='itmserver';origin='192.168.100.50';adapter_host='itmserver';date='01/06/2017';severity='CRITICAL';msg='itm server home directory > 80%';situation_eventdata='~';END
2017-01-06T11:33:18: Debug: D-UNK-000-000: [Event Processor] EventString:   Omegamon_Base;
2017-01-06T11:33:18: Debug: D-UNK-000-000: [Event Processor] ClassName: Omegamon_Base
2017-01-06T11:33:18: Debug: D-UNK-000-000: [Event Processor] adapter_host:  itmserver

   
   
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

只是提取其中 以Parsing events:为开头关键字,以END为结尾的日志信息内容。

过滤后

Parsing events: Omegamon_Base;cms_hostname='itmserver';cms_port='37076';integration_type='U';master_reset_flag='';appl_label='';situation_name='disk';situation_type='S';situation_origin='itmserver:LZ';situation_time='01/06/2017 11:33:23.000';situation_status='N';situation_thrunode='TEMS_TEST';situation_fullname='home_disk_error';situation_displayitem='';source='ITM';sub_source='itmserver:LZ';hostname='itmserver';origin='192.168.100.50';adapter_host='itmserver';date='01/06/2017';severity='CRITICAL';msg='itm server home directory > 80%';situation_eventdata='~';END
   
   
  • 1

1. 自定义过滤器

新建maven 项目,pom.xml 文件如下:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.us</groupId>
    <artifactId>flumeInterceptor</artifactId>
    <version>1.0-SNAPSHOT</version>
    <properties>

        <maven.compiler.target>1.8</maven.compiler.target>
        <maven.compiler.source>1.8</maven.compiler.source>
        <version.flume>1.7.0</version.flume>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.apache.flume</groupId>
            <artifactId>flume-ng-core</artifactId>
            <version>${version.flume}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.flume</groupId>
            <artifactId>flume-ng-configuration</artifactId>
            <version>${version.flume}</version>
        </dependency>

    </dependencies>


</project>
   
   
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32

新建自定义过滤器类MyInterceptor 继承Interceptor 类

package com.us;

import com.google.common.base.Charsets;
import com.google.common.collect.Lists;
import org.apache.flume.Context;
import org.apache.flume.Event;
import org.apache.flume.interceptor.Interceptor;

import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import static org.apache.flume.interceptor.RegexFilteringInterceptor.Constants.DEFAULT_REGEX;
import static org.apache.flume.interceptor.RegexFilteringInterceptor.Constants.REGEX;

/**
 * Created by yangyibo on 17/1/6.
 */
public class MyInterceptor  implements Interceptor {
    private final Pattern regex;

    private MyInterceptor(Pattern regex) {
        this.regex = regex;
    }

    @Override
    public void initialize() {
        // NO-OP...
    }

    @Override
    public void close() {
        // NO-OP...
    }
    //    JAVA中用于处理字符串常用的有三个类:
//
//    java.lang.String、
//
//    java.lang.StringBuffer、
//
//    java.lang.StringBuilder,
//
//    这三者的共同之处都是 final 类,不允许被继承,这主要是从性能和安全性上考虑的,因为这几个类都是经常被使用着的,且考虑到防止其中的参数被修改影响到其它的应用。
//
//    StringBuffer 与 StringBuilder 两个基本上差不多,只是 StringBuffer 是线程安全,可以不需要额外的同步用于多线程中;
//
//    StringBuilder 是非同步,运行于多线程中就需要使用着单独同步处理,但是速度就比 StringBuffer 快多了;二者之间的共同点都可以通过append、insert进行字符串的操作。
//
//    String 实现了三个接口:Serializable、Comparable<String>、CharSequence,
//
//    而 StringBuffer 及 StringBuilder 只实现了两个接口 Serializable、CharSequence,相比之下 String 的实例可以通过 compareTo 方法进行比较,而其它两个就不可以。
    @Override
    public Event intercept(Event event) {
        String body = new String(event.getBody(), Charsets.UTF_8);


        //匹配日志信息中以 Parsing events: 为开头关键字,以END 为结尾关键字 的日志信息段
        String pattern= "(Parsing events)(.*)(END)";
        // 创建 Pattern 对象
        Pattern r= Pattern.compile(pattern);
        // 现在创建 matcher 对象
      Matcher m= r.matcher(body);
        StringBuffer bodyoutput = new StringBuffer();
        if(m.find())//此处可以用多个正则进行匹配,多条件可以用&& 或者|| 的方式约束连接。
        {
            //多个正则匹配后可以将多个匹配的结果append 到bodyoutput
            bodyoutput=bodyoutput.append(m.group(0));
            event.setBody(bodyoutput.toString().getBytes());
        }else{
            event=null;
        }
        return event;
    }

    @Override
    public List<Event> intercept(List<Event> events) {
        List<Event> intercepted = Lists.newArrayListWithCapacity(events.size());
        for (Event event : events) {
            Event interceptedEvent = intercept(event);
            if (interceptedEvent != null) {
                intercepted.add(interceptedEvent);
            }
        }
        return intercepted;
    }

    public static class Builder implements Interceptor.Builder {
        private Pattern regex;
        //使用Builder初始化Interceptor
        @Override
        public Interceptor build() {
            return new MyInterceptor(regex);
        }

        @Override
        public void configure(Context context) {
            String regexString = context.getString(REGEX, DEFAULT_REGEX);
            regex = Pattern.compile(regexString);
        }
    }
}

   
   
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68
  • 69
  • 70
  • 71
  • 72
  • 73
  • 74
  • 75
  • 76
  • 77
  • 78
  • 79
  • 80
  • 81
  • 82
  • 83
  • 84
  • 85
  • 86
  • 87
  • 88
  • 89
  • 90
  • 91
  • 92
  • 93
  • 94
  • 95
  • 96
  • 97
  • 98
  • 99
  • 100
  • 101
  • 102

1.3 打包

将此maven项目打成jar包,将jar 包放到flume的lib 目录下。

关于jar 包管理请看 flume自定义组件的 jar 包管理

2. 编写flume配置文件

在flume的conf 文件夹下新建exec.conf 配置文件内容如下:

注意:(读取/opt/apps/logs/tail.log 文件中的内容,并将过滤结果输出到/opt/apps/tmp/ 目录下);
  com.us.MyInterceptor 为我门自定义过滤器类的全称限定名

   
   
  • 1
  • 2
  • 3
a1.sources = r1
a1.sinks = k1
a1.channels = c1

# Describe/configure the source
a1.sources.r1.type = exec
#a1.sources.r1.shell = /bin/bash -c
a1.sources.r1.channels = c1
a1.sources.r1.command = tail -F /opt/apps/logs/tail.log

#filter
a1.sources.r1.interceptors=i1
a1.sources.r1.interceptors.i1.type=regex_filter
#a1.sources.r1.interceptors.i1.type= com.us.MyInterceptor$Builder
a1.sources.r1.interceptors.i1.regex=(Parsing events)(.*)(END)


# Use a channel which buffers events in memory
a1.channels.c1.type = memory
a1.channels.c1.capacity = 1000
a1.channels.c1.transactionCapacity = 100

# sink
a1.sinks.k1.type = file_roll
a1.sinks.k1.channel = c1
#a1.sinks.k1.sink.rollInterval=0
a1.sinks.k1.sink.directory = /opt/apps/tmp
   
   
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27

3. 运行测试

在flume 的bin目录下执行启动命令

注意:/opt/apps/flume/ 是flume的位置,应替换为你flume的位置

   
   
  • 1
  • 2
./flume-ng agent -c /opt/apps/flume/conf -f /opt/apps/flume/conf/exec.conf -n a1 -Dflume.root.logger=INFO,console
   
   
  • 1

在监控目录下心间tail.log 文件,并放入过滤前的日志原信息,保存文件。到结果目录(/opt/apps/tmp)下查看生成的结果文件。查看过滤结果是否正确。

注意:如果tail.log 被监控文件存在,那么启动flume以后 应当修改一下tail.log 文件,使其发生变化,这样才会被flume监控到。

   
   
  • 1
  • 2

结果如下:

这里写图片描述

版权声明:本文为博主编写文章,未经博主允许转载,转载请注明出处。
丹江怒潮
关注
专栏目录
flume 正则表达式_Flume 知识点(二)Flume 高级组件
weixin_34677884的博客
01-19 617
作者:studytime原文:studytimeFlume NG 高级组件除了 Source、channel、Sink外,Flume Agent 还允许用户设置其他组件更灵活地控制数据流,包括 Interceptor,Channel Selector 和 Sink Processor。InterceptorFlume 中的拦截器(Interceptor),当 Source 读取 Event 发送到...
Flume拦截器(正则过滤拦截器,使用idea自定义拦截器)
May_J_Oldhu的博客
12-01 857
Flume拦截器一.使用正则拦截器(去掉首行)二.自定义拦截器1.创建maven工程2.在idea中自定义编写拦截器3.打成jar包传到$FLUME_HOME/lib 目录下4.编写agent文件5.执行结果 一.使用正则拦截器(去掉首行) 需求: 使用Spooling directory source监督符合格式的文件进行上传(格式:user_年-月-日.csv); 使用正则拦截器去除首行; 使用file channel进行缓存; 以规定的文件格式()上传到HDFS上规定文件夹下 [root@hadoop
flume过滤器
07-18
flume过滤器,用于解析source,然后根据规则sink到不同的路径
Flume自定义拦截器(过滤)配置
互联网知识分享
05-11 478
一个典型的例子就是利用flume从一组web服务器中收集日志文件,然后把这些文件中的日志事件转移到一个新的HDFS汇总文件中以做进一步的处理,所以flume的终点sink一般是HDFS,当然因为flume本生的灵活性,又可以将采集到的数据输出到HDFS、hbase、hive、kafka等众多外部存储系统中。)自定义类,目标:字母小写变大写,然后打成jarb包,上传到linux的flumeflume/lib文件夹下。该类是没main方法的,直接打包放在集群,底层代码会自动调用。获取事件对象中的字节数据。
flume 自定义拦截器
最初の夢
12-12 1002
拦截器存放目录:  plugins.d/任意名/lib 拦截器需要实现Interceptor接口,并实现Interceptor.Builder 接口 public class SincInterceptor implements Interceptor { public void close() { } public void initialize() { } p
Flume正则拦截器(regex_filter) 以及自定义拦截器
zp17834994071的博客
08-11 3134
前面已经给大家说过flume的简介以及安装,还有不明白的可以再去看看: Flume简介以及详细安装教程 在当今大数据时代,在处理海量数据之前,收集数据,聚合和转换数据是绝对必要的,并最终将数据移动到那些使用不同分析和数据挖掘工具的存储库中。 执行所有这些步骤的流行工具之一是Apache Flume。 这些数据通常是以事件或日志的形式存储。 Apache Flume有三个主要组件: Source:数据源可以是企业服务器,文件系统,云端,数据存储库等。 Channel:在事件被sink消耗前由Channel 存
flume flume自定义拦截器
a3125504x的博客
09-01 1177
flume自定义拦截器flume自带拦截器flume自定义拦截器flume Interceptor源码示例原始数据格式处理后的数据第一个flume代码(自定义flume拦截器)pom文件java代码flume配置文件 flume自带拦截器 timestamp 拦截器:在Event Header中添加时间戳。 Host 拦截器:在Event Header中添加agent运行机器的Host或IP。 Static 拦截器:在Event Header中添加自定义静态属性。 Remove Header拦截器:可移除
Flume拦截器(含自定义拦截器)
weixin_43520450的博客
04-21 1575
Flume拦截器(含自定义拦截器)一、Flume拦截器1.1 时间戳拦截器1.2 主机名拦截器1.3 UUID拦截器1.4 查询替换拦截器1.5 正则过滤拦截器1.6 正则抽取拦截器二、Flume自定义拦截器2.1 添加Pom.xml依赖2.2 自定义实现拦截器2.3 Flume配置文件三、其它案例 ——————— —————————— —————————— —————————— ...
Flume正则拦截器(regex_filter) 以及自定义拦截器(转载)
kikkc的博客
08-27 549
前面已经给大家说过flume的简介以及安装,还有不明白的可以再去看看: Flume简介以及详细安装教程 在当今大数据时代,在处理海量数据之前,收集数据,聚合和转换数据是绝对必要的,并最终将数据移动到那些使用不同分析和数据挖掘工具的存储库中。 执行所有这些步骤的流行工具之一是Apache Flume。 这些数据通常是以事件或日志的形式存储。 Apache Flume有三个主要组件: Source:数据源可以是企业服务器,文件系统,云端,数据存储库等。 Channel:在事件被sink消耗前由Channel 存
Flume>flume过滤器
qq_44509920的博客
12-06 1130
1. 案例场景 A、B两台日志服务机器实时生产日志主要类型为access.log、nginx.log、web.log 现在要求: 把A、B 机器中的access.log、nginx.log、web.log 采集汇总到C机器上然后统一收集到hdfs中。 但是在hdfs中要求的目录为: /source/logs/access/20180101/** /source/logs/nginx/2018010...
flume 的官方正则过滤器
哎幽的成长
01-11 7805
本文内容:前两天在弄flume正则过滤器,因为日志截取原因,自定义写了一个。今天就说一下官方的正则过滤器。官方的正则过滤器用来过滤正则匹配的日志。1.excludeEvents属性当 excludeEvents 属性值为 true 则把正则匹配到的日志 过滤掉,不读取到channel,通过sink 进行输出。当 excludeEvents 属性值为 false 则把正则没有匹配到的日志
Flume正则表达式(可参考)
互联网知识分享
05-10 166
例如,“zo+”能匹配“zo”以及“zoo”,但不能匹配“z”。注意:只有连字符在字符组内部时,并且出现在两个字符之间时,才能表示字符的范围;如果出字符组的开头,则只能表示连字符本身.如果设置了RegExp对象的Multiline属性,^也匹配“\n”或“\r”之后的位置。如果设置了RegExp对象的Multiline属性,$也匹配“\n”或“\r”之前的位置。匹配指定范围内的任意字符。例如,“[a-z]”可以匹配“a”到“z”范围内的任意小写字母字符。例如,zo*能匹配“z”,“zo”以及“zoo”。
Flume 常用拦截器
csdnwindnorth的博客
09-09 814
Flume 拦截器 时间戳拦截器 flume-timestamp.conf #1.定义agent名, source、channel、sink的名称 a4.sources = r1 a4.channels = c1 a4.sinks = k1 #2.具体定义source a4.sources.r1.type = spooldir a4.sources.r1.spoolDir = /opt/wind...
Flume
m0_56433040的博客
07-21 320
Flume简介: 1.1 大数据处理流程 数据源(RDBMS,日志文件,web数据)数据采集(sqoop,flume,kafka) ---> 数据存储(hdfs,hbase,es) ----> 数据清洗(mapreduce,hive,spark) ---> 数据分析(mapreduce,hive,spark) ---> 数据存储(mysql,oracle,sqlserver) ----> web展示 flume简介: Flume是一种分布式的,可靠的,高可用的服务,用于有效的
Flume拦截器过滤配置(全网最详细)
互联网知识分享
05-10 827
监控目录面的不要修改内容 , 一旦监控过后就不会在监控了,所以最好使用在新创建一个文件里面创建新内容,而监控文件可以使用追加内容,而监控目录不支持追加内容。*表示匹配前面的字符多次。命令 mv flume-env.sh.template flume-env.sh。命令 mv flume-env.sh.template flume-env.sh。命令 mv flume-env.sh.template flume-env.sh。命令 mv flume-env.sh.template flume-env.sh。
flume日志监控,和日志数据正则清洗最后实时集中到hbase中的示例
maketubu7的博客
06-19 4275
今天学习了flume的简单用法,顺便思考了一下,对标准日志格式的数据实时清洗和集中存储今天介绍一下运用正则表达式对数据进行实时清洗,将数据存储到hbase中,前面简单的不分列的存储,就直接贴代码1、运用flume的HBasesink--SimpleHbaseEventSerializer 代码如下 ###define agent a5_hbase.sources = r5 a5_hbase.cha...
使用自定义程序过滤flume数据
balalaxstar的博客
05-25 360
编写java自定义过滤程序 新建一个maven项目 在pom.xml中添加 <dependency> <groupId>org.apache.flume</groupId> <artifactId>flume-ng-core</artifactId> <version>1.6.0</version> </dependency> 新建java程序 package flu
flume flume自定义sink过滤数据库字段
a3125504x的博客
09-02 382
flume自定义sink过滤数据库字段理论准备数据准备代码java代码flume配置文件官网地址 理论准备 自定义sink需要继承AbstractSink类,并实现以下3个方法 start() process() stop() transaction: 数据准备 # 创建一个数据库 CREATE DATABASE IF NOT EXISTS mysqlsource DEFAULT CHARACTER SET utf8 ; USE mysqlsource; #v 创建一个表,用户保存拉取目标表位置的信息
flume自定义拦截器
最新发布
08-12
Flume自定义拦截器是指使用自定义的逻辑来对Flume事件进行处理和过滤的一种机制。通过编写自定义拦截器代码,可以根据特定的需求对事件进行处理,例如添加额外的信息、修改事件内容或过滤事件等。<span class="em">1...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值