Flume 一个高可用的,高可靠的,分布式的海量日志采集、聚合和传输的系统。
Agent
flume中通过agent进行日志采集、聚合、传输。agent是一个JVM进程,它以事件的形式将数据从源头送至目的。Agent 主要有 3 个部分组成,Source、Channel、Sink。
Source
Source作为Agent的输入口,负责接收各种类型、各种格式的日志数据,包括 avro、thrift、exec、jms、spooling directory、netcat、taildir、sequence generator、syslog、http、legacy。
Sink
Sink作为Agent的输出口,负责不断轮询Channel中的事件并批量移除事件,根据配置文件的配置将事件写入到HDFS等存储系统,或者发到另一个Agent中。Sink 组件目的地包括 hdfs、logger、avro、thrift、ipc、file、HBase、solr、自定义。
Channel
Channel 是位于 Source 和 Sink 之间的缓冲区。因此,Channel 允许 Source 和 Sink 运作在不同的速率上。Channel 是线程安全的,可以同时处理几个 Source 的写入操作和几个Sink 的读取操作。
Memory Channel 是内存中的队列。Memory Channel 在不需要关心数据丢失的情景下适用。如果需要关心数据丢失,那么 Memory Channel 就不应该使用,因为程序死亡、机器宕机或者重启都会导致数据丢失。File Channel 将所有事件写到磁盘。因此在程序关闭或机器宕机的情况下不会丢失数据。
Event
event是flume的数据传输基本单元,event由两部分组成:Header和Body。
Header用来存放event的一些属性,为map结构。Body用来存放该条数据,以字节数组的形式存放。
Interceptors
Flume 能够在数据传输中修改/删除事件。这是在Interceptors的帮助下完成的。Interceptors是实现 org.apache.flume.interceptor.Interceptor 接口的类。Interceptors以根据开发人员选择的任何条件修改甚至删除事件。interceptors可以修改或删除事件。如果interceptors需要删除事件,则它不会在返回的列表中返回该事件。如果要删除所有事件,则仅返回一个空列表