轻松通关Flink第11讲:Flink CEP 复杂事件处理

最新推荐文章于 2023-12-05 22:34:42 发布
最新推荐文章于 2023-12-05 22:34:42 发布
阅读量224 收藏 3
点赞数
分类专栏: 大数据 文章标签: flink java 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sucaiwa/article/details/129787924
版权

你好,欢迎来到第 11 课时,这一课时将介绍 Flink 中提供的一个很重要的功能:复杂事件处理 CEP。

背景

Complex Event Processing(CEP)是 Flink 提供的一个非常亮眼的功能,关于 CEP 的解释我们引用维基百科中的一段话:

CEP, is event processing that combines data from multiple sources to infer events or patterns that suggest more complicated circumstances. The goal of complex event processing is to identify meaningful events (such as opportunities or threats) and respond to them as quickly as possible.

在我们的实际生产中,随着数据的实时性要求越来越高,实时数据的量也在不断膨胀,在某些业务场景中需要根据连续的实时数据,发现其中有价值的那些事件。

说到底,Flink 的 CEP 到底解决了什么样的问题呢?

比如,我们需要在大量的订单交易中发现那些虚假交易,在网站的访问日志中寻找那些使用脚本或者工具“爆破”登录的用户,或者在快递运输中发现那些滞留很久没有签收的包裹等。

如果你对 CEP 的理论基础非常感兴趣,推荐一篇论文“Efficient Pattern Matching over Event Streams”。

Flink 对 CEP 的支持非常友好,并且支持复杂度非常高的模式匹配,其吞吐和延迟都令人满意。

程序结构

Flink CEP 的程序结构主要分为两个步骤:

  • 定义模式
  • 匹配结果

我们在官网中可以找到一个 Flink 提供的案例:

DataStream<Event> input = ...
Pattern<Event, ?> pattern = Pattern.<Event>begin("start").where(
        new SimpleCondition<Event>() {
            @Override
            public boolean filter(Event event) {
                return event.getId() == 42;
            }
        }
    ).next("middle").subtype(SubEvent.class).where(
        new SimpleCondition<SubEvent>() {
            @Override
            public boolean filter(SubEvent subEvent) {
                return subEvent.getVolume() >= 10.0;
            }
        }
    ).followedBy("end").where(
         new SimpleCondition<Event>() {
            @Override
            public boolean filter(Event event) {
                return event.getName().equals("end");
            }
         }
    );
PatternStream<Event> patternStream = CEP.pattern(input, pattern);
DataStream<Alert> result = patternStream.process(
    new PatternProcessFunction<Event, Alert>() {
        @Override
        public void processMatch(
                Map<String, List<Event>> pattern,
                Context ctx,
                Collector<Alert> out) throws Exception {
            out.collect(createAlertFrom(pattern));
        }
    });

在这个案例中可以看到程序结构分别是:

  • 第一步,定义一个模式 Pattern,在这里定义了一个这样的模式,即在所有接收到的事件中匹配那些以 id 等于 42 的事件,然后匹配 volume 大于 10.0 的事件,继续匹配一个 name 等于 end 的事件;
  • 第二步,匹配模式并且发出报警,根据定义的 pattern 在输入流上进行匹配,一旦命中我们的模式,就发出一个报警。

模式定义

Flink 支持了非常丰富的模式定义,这些模式也是我们实现复杂业务逻辑的基础。我们把支持的模式简单做了以下分类,完整的模式定义 API 支持可以参考官网资料

简单模式

1.png

2.png

联合模式

3.png

匹配后的忽略模式

4.png

源码解析

我们在上面的官网案例中可以发现,Flink CEP 的整个过程是:

  • 从一个 Source 作为输入
  • 经过一个 Pattern 算子转换为 PatternStream
  • 经过 select/process 算子转换为 DataStream

我们来看一下 select 和 process 算子都做了什么?

image (12).png

可以看到最终的逻辑都是在 PatternStream 这个类中进行的。

public <R> SingleOutputStreamOperator<R> process(
      final PatternProcessFunction<T, R> patternProcessFunction,
      final TypeInformation<R> outTypeInfo) {
   return builder.build(
      outTypeInfo,
      builder.clean(patternProcessFunction));
}

最终经过 PatternStreamBuilder 的 build 方法生成了一个 SingleOutputStreamOperator,这个类继承了 DataStream。

image (13).png

最终的处理计算逻辑其实都封装在了 CepOperator 这个类中,而在 CepOperator 这个类中的 processElement 方法则是对每一条数据的处理逻辑。

image (14).png

同时由于 CepOperator 实现了 Triggerable 接口,所以会执行定时器。所有核心的处理逻辑都在 updateNFA 这个方法中。

image (15).png

入口在这里:

private void processEvent(NFAState nfaState, IN event, long timestamp) throws Exception {
   try (SharedBufferAccessor<IN> sharedBufferAccessor = partialMatches.getAccessor()) {
      Collection<Map<String, List<IN>>> patterns =
         nfa.process(sharedBufferAccessor, nfaState, event, timestamp, afterMatchSkipStrategy, cepTimerService);
      processMatchedSequences(patterns, timestamp);
   }
}

NFA 的全称为 非确定有限自动机,NFA 中包含了模式匹配中的各个状态和状态间的转换。

在 NFA 这个类中的核心方法是:process 和 advanceTime,这两个方法的实现有些复杂,总体来说可以归纳为,每当一条新来的数据进入状态机都会驱动整个状态机进行状态转换。

实战案例

我们模拟电商网站用户搜索的数据来作为数据的输入源,然后查找其中重复搜索某一个商品的人,并且发送一条告警消息。

代码如下:

public static void main(String[] args) throws Exception{
    final StreamExecutionEnvironment env = StreamExecutionEnvironment.getExecutionEnvironment();
    env.setParallelism(1);
    DataStreamSource source = env.fromElements(
            //浏览记录
            Tuple3.of("Marry", "外套", 1L),
            Tuple3.of("Marry", "帽子",1L),
            Tuple3.of("Marry", "帽子",2L),
            Tuple3.of("Marry", "帽子",3L),
            Tuple3.of("Ming", "衣服",1L),
            Tuple3.of("Marry", "鞋子",1L),
            Tuple3.of("Marry", "鞋子",2L),
            Tuple3.of("LiLei", "帽子",1L),
            Tuple3.of("LiLei", "帽子",2L),
            Tuple3.of("LiLei", "帽子",3L)
    );
    //定义Pattern,寻找连续搜索帽子的用户
    Pattern<Tuple3<String, String, Long>, Tuple3<String, String, Long>> pattern = Pattern
            .<Tuple3<String, String, Long>>begin("start")
            .where(new SimpleCondition<Tuple3<String, String, Long>>() {
                @Override
                public boolean filter(Tuple3<String, String, Long> value) throws Exception {
                    return value.f1.equals("帽子");
                }
            }) //.timesOrMore(3);
            .next("middle")
            .where(new SimpleCondition<Tuple3<String, String, Long>>() {
                @Override
                public boolean filter(Tuple3<String, String, Long> value) throws Exception {
                    return value.f1.equals("帽子");
                }
            });

KeyedStream keyedStream = source.keyBy(<span class="hljs-number">0</span>);
PatternStream patternStream = CEP.pattern(keyedStream, pattern);
SingleOutputStreamOperator matchStream = patternStream.select(<span class="hljs-keyword">new</span> PatternSelectFunction&lt;Tuple3&lt;String, String, Long&gt;, String&gt;() {
    <span class="hljs-meta">@Override</span>
    <span class="hljs-function"><span class="hljs-keyword">public</span> String <span class="hljs-title">select</span><span class="hljs-params">(Map&lt;String, List&lt;Tuple3&lt;String, String, Long&gt;&gt;&gt; pattern)</span> <span class="hljs-keyword">throws</span> Exception </span>{
        List&lt;Tuple3&lt;String, String, Long&gt;&gt; middle = pattern.get(<span class="hljs-string">"middle"</span>);
        <span class="hljs-keyword">return</span> middle.get(<span class="hljs-number">0</span>).f0 + <span class="hljs-string">":"</span> + middle.get(<span class="hljs-number">0</span>).f2 + <span class="hljs-string">":"</span> + <span class="hljs-string">"连续搜索两次帽子!"</span>;
    }
});
matchStream.printToErr();
env.execute(<span class="hljs-string">"execute cep"</span>);

}

上述代码的逻辑我们可以分解如下。

首先定义一个数据源,模拟了一些用户的搜索数据,然后定义了自己的 Pattern。这个模式的特点就是连续两次搜索商品“帽子”,然后进行匹配,发现匹配后输出一条提示信息,直接打印在控制台上。

image (16).png

可以看到,提示信息已经打印在了控制台上。

总结

这一课时讲解了 Flink CEP 的支持和实现,并且模拟了一下简单的电商搜索场景来实现对连续搜索某一个商品的提示,关于模式匹配还有更加复杂的应用,比如识别网站的用户的爆破登录、运维监控等,建议你结合源码和官网进行深入的学习。

点击这里下载本课程源码

精选评论

**卓:

next、fellowby的区别是 next可以不连续,fellowby必须连续吗?

    讲师回复:

    next 的意思是说上一步符合条件的元素之后紧挨着的元素;而 followedBy 并不要求一定是挨着的元素。这两者分别称为严格近邻和非严格近邻。简单的说,next要求必须连续,followedBy可以不连续。

**兵:

flink cep是固化的,如何才能做到cep规则热部署动态实时生效呢?求指导

    讲师回复:

    FlinkCEP已经支持热部署了,你可以查一下FLINK-7129动态变更模式这个issue

**0278:

老师实现连续五次匹配出帽子,该怎么使用times方法呢?

    讲师回复:

     可以直接使用times方法,times(5) 代表匹配5次

*帅:

如果需求改为在30分钟内连续搜索两次帽子的话,应该要怎么实现CEP?

    讲师回复:

    CEP对时间的支持很丰富,可以直接在where后面接within(Time.minutes(30)),即代表30分钟内发生事件

*帅:

匹配后的忽略模式,表格中的结果一样吗

    讲师回复:

    应该是一样的。

**军:

hello  老师,麻烦问一下我的flink的CEP依赖不能下载,这个知道是什么问题吗?

    讲师回复:

    大概率是网络问题,都是在maven中央仓库下载的

源码头
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Flink Cep 扩展 - 动态规则更新及Pattern间within()
麦香鸡翅的博客
07-06 2045
Flink cep的两个痛点进行扩展: 1.不能动态规则更新 2.不支持 Pattern间within()
Flink CEP(三)pattern动态更新(附源码)
StephenYou的自习室
08-05 1473
线上运行的CEP中肯定经常遇到规则变更的情况,如果每次变更时都将任务重启、重新发布是非常不优雅的。本文将介绍CEP Pattern动态注入的原理和实现,文末附上源码地址。
Flink-Cep实现规则动态更新
yang灬仔
11-30 5759
Flink-Cep实现规则动态更新 规则引擎通常对我们的理解就是用来做模式匹配的,在数据流里面检测满足规则要求的数据。有人会问为什么需要规则动态变更呢?直接修改了规则把服务重启一下不就可以了吗,这个当然是不行的,规则引擎里面通常会维护很多不同的规则,例如在监控告警的场景下,如果每个人修改一下自己的监控阈值,就重启一下服务,必然会影响其他人的使用,因此需要线上满足规则动态变更加载。本篇基于Flink-Cep 来实现规则动态变更加载,同时参考了Flink中文社区刘博老师的分享(https://develope
Flink cep动态模板+cep规则动态修改实践
热门推荐
qq_31866793的博客
04-15 1万+
Flink CEP 概念以及使用场景 1.什么是CEPCEP的意思是复杂事件处理,例如:起床-->洗漱-->吃饭-->上班等一系列串联起来的事件流形成的模式称为 CEP。如果发现某一次起床后没有刷牙洗脸亦或是吃饭就直接上班,就可以把这种非正常的事件流匹配出来进行分析,看看今天是不是起晚了。 在真实场景中,起床,洗漱,吃饭,上班就是一个个事件数据。 CEP的特征如下: 目标:从有序的简单事件流中发现一些高阶特征; 输入:一个或多个简单事件构成...
Flink篇11】FlinkCEP复杂时间处理1
08-04
特征如下目标:从有序的简单事件流中发现一些高阶特征输入:一个或多个由简单事件构成的事件处理:识别简单事件之间的内在联系,多个符合一定规则的简单事件构成复杂事件
Flink CEP学习线路指导1:Flink CEP入门
01-07
问题导读 1.Flink CEP是什么?2.Flink CEP可以做哪些事情?3.Flink CEP和流式处理有什么区别?...CEPFlink未产生以前,已经有CEP,并不是有了Flink才有CEP,我们这里重点是Flink CEPCEP本身的含义
Flink CEP兵书
06-16
Flink CEP兵书全面系统的介绍Flink CEP...分别解了:Flink CEP与流式处理的区别、原理、api解、Flink CEP各种模式、跳过策略、模式匹配、水位线的解等内容。以及在代码例子中,给大家提供了代码实现及代码解。
flink-cep-perf:测试带窗口pattern性能
04-30
即,每发送100个事件后连续插入异常事件,插入异常事件个数大于设定的阈值。需要注意的是,设定事件次数的阈值 * 事件发送间隔时间需要小于等于窗口时间,否则pattern不会触发。 pattern代码 Pattern<JSONObject> ...
Flink动态CEP,来自啤酒鸭
09-19
Flink动态CEP,来自黄瓜炖啤酒鸭的无私分享; 博主原文地址:https://blog.csdn.net/qq_31866793/article/details/115719358
钱大妈基于 Flink 的实时风控实践
Ververica的博客
06-15 865
钱大妈与阿里云 Flink 实时计算团队共建实时风控规则引擎,精确识别羊毛党以防营销预算流失。
flinkFlink-Cep实现规则动态更新
九师兄
11-25 2453
1.概述 我们是用processfunction实现的cep动态更新,然后看到这个是原生api感觉有趣,研究一下 原文:https://mp.weixin.qq.com/s/mh–wQvAWQq2tDPKq0-m8Q 规则引擎通常对我们的理解就是用来做模式匹配的,在数据流里面检测满足规则要求的数据。有人会问为什么需要规则动态变更呢?直接修改了规则把服务重启一下不就可以了吗,这个当然是不行的,规则引擎里面通常会维护很多不同的规则,例如在监控告警的场景下,如果每个人修改一下自己的监控阈值,就重启一下服务,必然会
基于Flinkcep-1.11.2 动态规则修改实践
qq_31866793的博客
12-10 2598
1,事先说明 这个代码搞出来说白了就是在大佬的代码参考下完成的,之前就一直想搞cep规则动态修改,苦于对cep的源码不熟悉,没法下手。 之前有个大佬搞过基于flink-cep 1.8版本的动态规则修改。 后来有个大佬搞过基于flink-cep 1.1.0的。 我看代码的逻辑是后者更复杂,前者更好理解,后者需要修改的地方太多,后来我仔细思考之后发现,还是前者效果更好一些。 因为可以结合配置流,或者数据里面获取新的规则,实现规则的自动更新,后者可能需要定时获取规则比对是否发现修改。 配置流这个目..
CEP-Flink复杂事件处理(一)
刘金超DT的博客
09-03 3741
Flink CEP 背景介绍 随着无处不在的传感器网络和智能设备不断收集越来越多的数据,我们面临着以近实时的方式分析不断增长的数据流的挑战。 能够快速响应不断变化的趋势或提供最新的商业智能可能是公司成功或失败的决定性因素。 实时处理中的关键问题是检测数据流中的事件模式。 复杂事件处理CEP)恰好解决了对连续传入事件进行模式匹配的问题。 匹配的结果通常是从输入事件派生的复杂事件。 与对存储数据执行...
flink CEP之规则解释
weixin_40954192的博客
08-23 1001
flink CEP表示复杂事件处理CEP开发流程: 输入事件流的创建即DataStream pattern的定义即规则定义 通过pattern规则去事件流匹配 选取结果 pattern 1.规则定义 1.首先每个规则的定义都是通过Patttern.begin进行定义的。( ----val start = Pattern.begin[Event]("start_pattern") ----- ) 2.规则条件 条件 定义条件在 FlinkCEP 中通过 pattern.w..
Flink(九)CEP
ks_1998的博客
06-28 1792
Flink CEP
基于 Flink 构建 CEP 引擎的挑战和实践
Ververica的博客
01-09 1971
摘要:奇安信集团作为一家网络安全公司是如何基于 Flink 构建 CEP 引擎实时检测网络攻击?其中面临的挑战以及宝贵的实践经验有哪些?本文主要内容分为以下四个方面:背景及现状技术架构产...
Flink复杂事件处理CEP
最新发布
积跬步,至千里。
12-05 308
FlinkCEP是在Flink之上实现的复杂事件处理CEP)库。它允许我们检测无穷无尽的事件流中的事件模式,让我们有机会掌握数据中的重要内容。
从滴滴的Flink CEP引擎说起
ludongguoa的博客
11-01 225
CEP业务场景 复杂事件处理(Complex Event Process,简称CEP)用来检测无尽数据流中的复杂模 式,拥有从不同的数据行中辨识查找模式的能力。模式匹配是复杂事件处理的一个强 大援助。 例子包括受一系列事件驱动的各种业务流程,例如在安全应用中侦测异常行为;在金 融应用中查找价格、交易量和其他行为的模式。其他常见的用途如欺诈检测应用和传 感器数据的分析等。 说了这么多可能还是觉得比较抽象,那么我们可以看看这次滴滴分享的FlinkCEP在滴滴中的业务场景。 吐槽时刻: 虽
Flink SQL篇,SQL实操、Flink Hive、CEP、CDC、GateWay
一个写湿的程序猿
02-10 3226
Flink SQL 篇82、Flink SQL有没有使用过?83、Flink被称作流批一体,从哪个版本开始,真正实现流批一体的?84、Flink SQL 使用哪种解析器?85、Calcite主要功能包含哪些?86、Flink SQL 处理流程说一下?87、Flink SQL包含哪些优化规则?88、Flink SQL中涉及到哪些operation?89、Flink Hive有没有使用过?90、Flink与Hive集成时都做了哪些操作?91、HiveCatalog类包含哪些方法?92、Flink SQL1.11
flink cep乱序
08-31
Flink CEP(Complex Event Processing)是一种用于处理乱序事件流的功能。在Flink中,CEP库提供了强大的模式匹配功能,可用于识别事件流中的模式,并触发相应的操作。 对于乱序事件流,Flink CEP提供了两种处理模式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

源码头

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值