flume三种方式收集日志的案例

最新推荐文章于 2021-12-21 14:02:16 发布
最新推荐文章于 2021-12-21 14:02:16 发布
阅读量2.5k 收藏 4
点赞数 1
分类专栏: flume
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42411818/article/details/100539432
版权

exec

监测某个单一的文件

# user_action_log_src 这个名字可以任意取
agent1.sources = user_action_log_src
# memoryChannel 也是随便取的
agent1.channels = memoryChannel
# hdfs_sink 发送到hdfs的
agent1.sinks = hdfs_sink

# For each one of the sources, the type is defined
# exec 方式来收集
agent1.sources.user_action_log_src.type = exec
# tail -fn0  通过查看最后一行来获取日志
agent1.sources.user_action_log_src.command = tail -fn0 /home/hadoop-jrq/dw-course/streaming-etl/logs/user-action.log

# 可以指定用什么样的shell来执行命令脚
#agent1.sources.user_action_log_src.shell = /bin/bash -c
#agent1.sources.user_action_log_src.command = for i in /path/*.txt; do cat $i; done
# 表示当cmd挂掉的时候,是否需要重启cmd, 默认是false
# 就是当 tail -fn0 挂掉的时候,需不需要重启
agent1.sources.user_action_log_src.restart = true
# 重启之前需要等待的时间长度,默认是10000毫秒  等待是因为等错误消失
agent1.sources.user_action_log_src.restartThrottle = 10000
# 表示一次性批量的将多少条event发送channel, 默认是20条,一条条发,性能会差
agent1.sources.user_action_log_src.batchSize = 20
# 如果等待了3000毫秒,还没有达到上面配置的batchSize,则将所有的event发往channel
agent1.sources.user_action_log_src.batchTimeout = 3000

# 给user_action_log_src这个source指定channel  memoryChannel 和上面的agent1.channels = memoryChannel一致
agent1.sources.user_action_log_src.channels = memoryChannel

# Each sink's type must be defined
# hdfs 数据保存到hdfs中去
agent1.sinks.hdfs_sink.type = hdfs
# 保存到hdfs的目录
agent1.sinks.hdfs_sink.hdfs.path = hdfs://mycluster/user/hadoop-jrq/dw-course/user-action-allfile/%y-%m-%d/%H%M/%S
# 上面匹配时间的话,需要打开这个开关,这个配置默认是false
agent1.sinks.hdfs_sink.hdfs.useLocalTimeStamp = true
# For example, an event with timestamp 11:54:34 AM, June 12, 2012 will cause
# the hdfs path to become /flume/events/2012-06-12/1150/00.
# 下面三个参数的含义: 11.54的数据写到11.50中去,意思就是在这10分钟之类的数据都放到10的倍数文件中去
agent1.sinks.hdfs_sink.hdfs.round = true
agent1.sinks.hdfs_sink.hdfs.roundValue = 10
agent1.sinks.hdfs_sink.hdfs.roundUnit = minute
# 表示文件名的前缀,默认为FlumeData  events就是文件的前缀
agent1.sinks.hdfs_sink.hdfs.filePrefix = events
# 表示文件名的后缀,默认没有后缀  .txt是自定义的文件后缀名
agent1.sinks.hdfs_sink.hdfs.fileSuffix = .txt

# 下面的参数都是为了把大文件合并成小文件
# 数据先写到临时文件,然后在合并成大文件

# 表示写临时文件的文件名的前缀,默认没有值  
agent1.sinks.hdfs_sink.hdfs.inUsePrefix = events-tmp
# 表示写临时文件的文件名的后缀,默认就是.tmp
agent1.sinks.hdfs_sink.hdfs.inUseSuffix = .tmp

# 表示数据每次flush到hdfs的event数,默认就是100   到100条的时候才会写到文件中去
agent1.sinks.hdfs_sink.hdfs.batchSize = 100

# 利用下面的规则,合并成大文件
# 下面的条件达到一条就写最终的文件,实际中根据实际的数据量(频率)来决定
# 表示达到了30秒就将临时文件合并成最终文件,默认就是30秒,如果是0的话则表示不按照时间的多少来合并临时文件  如果是0不管多少,都不会把临时文件合并成最终的文件
agent1.sinks.hdfs_sink.hdfs.rollInterval = 30
# 表示文件的大小达到了1024 bytes,则将临时文件合并成最终文件,默认就是1024字节,如0则表示不按照文件大小合并 如果是0不管多少,都不会把临时文件合并成最终的文件
agent1.sinks.hdfs_sink.hdfs.rollSize =1024
# 表示写入event的数量达到10条的话,则将临时文件合并成最终文件,默认就是10条,如0则表示不按照event条数合并
agent1.sinks.hdfs_sink.hdfs.rollCount =10
# 如果临时文件在这个时间内没有写数据的话,则将这个文件关闭掉,默认等于0,表示不关闭闲文件  比如10  10S没有数据,就关闭临时文件,写成最终文件
agent1.sinks.hdfs_sink.hdfs.idleTimeout = 0


# flume写文件只支持,文本和二进制文件,如下
# DataStream表示没有压缩的text文件,默认是SequenceFile,还有CompressedStream表示压缩的文本文件,需要设置hdfs.codeC 
agent1.sinks.hdfs_sink.hdfs.fileType = DataStream
# 如果是压缩的,就需要设置压缩的算法
# agent1.sinks.hdfs_sink.hdfs.codeC = snappy
# 可以为:gzip, bzip2, lzo, lzop

# 给hdfs_sink这个sink指定channel
agent1.sinks.hdfs_sink.channel = memoryChannel

# 定义channel
agent1.channels.memoryChannel.type = memory
#  这个内存channel中最多能存储的event的数量为100,默认为100
agent1.channels.memoryChannel.capacity = 100

spooldir

监测一个目录

# 检测指定的目录的新文件,将新文件数据直接导入到hdfs里去

agent1.sources = spooldir_src
agent1.channels = memoryChannel
agent1.sinks = hdfs_sink

# For each one of the sources, the type is defined
agent1.sources.spooldir_src.type = spooldir
# 在这个下面会有一个.flumespool 里面是flume存储的元数据信息,这样在flume挂掉的时候,启动的时候就会去读元数据信息,就不会丢失数据了
# 有新文件,就会把这个新文件读出来,放到hdfs中去
agent1.sources.spooldir_src.spoolDir = /home/hadoop-jrq/dw-course/streaming-etl/logs/minute/bak
# 开启这个就会为每个事件增加一个文件的全路径名,这是值
agent1.sources.spooldir_src.fileHeader = true
# 这是key,可以随便写
agent1.sources.spooldir_src.fileHeaderKey = file
agent1.sources.spooldir_src.basenameHeader = true
agent1.sources.spooldir_src.basenameHeaderKey  = basename

# The channel can be defined as follows.
agent1.sources.spooldir_src.channels = memoryChannel

# Each sink's type must be defined
agent1.sinks.hdfs_sink.type = hdfs
agent1.sinks.hdfs_sink.hdfs.path = hdfs://mycluster/user/hadoop-jrq/dw-course/user-action-minute
agent1.sinks.hdfs_sink.hdfs.useLocalTimeStamp = true 
# 上面匹配时间的话,需要打开这个开关,这个配置默认是false

agent1.sinks.hdfs_sink.hdfs.round = true
agent1.sinks.hdfs_sink.hdfs.roundValue = 10
agent1.sinks.hdfs_sink.hdfs.roundUnit = minute
# For example, an event with timestamp 11:54:34 AM, June 12, 2012 will cause the hdfs path to become /flume/events/2012-06-12/1150/00.

agent1.sinks.hdfs_sink.hdfs.filePrefix = events 
# 表示文件名的前缀,默认为FlumeData

agent1.sinks.hdfs_sink.hdfs.fileSuffix = .txt 
# 表示文件名的后缀,默认没有后缀

agent1.sinks.hdfs_sink.hdfs.idleTimeout = 0 
# 如果临时文件在这个时间内没有写数据的话,则将这个文件关闭掉,默认等于0,表示不关闭闲文件

agent1.sinks.hdfs_sink.hdfs.batchSize = 100 
# 表示数据每次flush到hdfs的event数,默认就是100

agent1.sinks.hdfs_sink.hdfs.inUsePrefix = events-tmp 
# 表示写临时文件的文件名的前缀,默认没有值

agent1.sinks.hdfs_sink.hdfs.inUseSuffix = .tmp 
# 表示写临时文件的文件名的后缀,默认就是.tmp

agent1.sinks.hdfs_sink.hdfs.rollInterval =30 
# 表示达到了30秒就将临时文件合并成最终文件,默认就是30秒,如果是0的话则表示不按照时间的多少来合并临时文件

agent1.sinks.hdfs_sink.hdfs.rollSize =0 
# 表示文件的大小达到了1024 bytes,则将临时文件合并成最终文件,默认就是1024字节,如0则表示不按照文件大小合并

agent1.sinks.hdfs_sink.hdfs.rollCount =0 
# 表示写入event的数量达到10条的话,则将临时文件合并成最终文件,默认就是10条,如0则表示不按照文件大小合并

agent1.sinks.hdfs_sink.hdfs.fileType = DataStream  
# 表示没有压缩的text文件,默认是SequenceFile,还有CompressedStream表示压缩的文本文件,需要设置hdfs.codeC

# agent1.sinks.hdfs_sink.hdfs.codeC = snappy 
# 可以为:gzip, bzip2, lzo, lzop

#Specify the channel the sink should use
agent1.sinks.hdfs_sink.channel = memoryChannel

# Each channel's type is defined.
agent1.channels.memoryChannel.type = memory

# Other config values specific to each type of channel(sink or source)
# can be defined as well
# In this case, it specifies the capacity of the memory channel
agent1.channels.memoryChannel.capacity = 100

TAILDIR

监测多个文件目录下的文件

agent1.sources = taildir_src
agent1.channels = memoryChannel
agent1.sinks = hdfs_sink

# For each one of the sources, the type is defined
# TAILDIR 1.8.0才开始有的,之前的都是实验版本  和exec也是一样的实时收集,但是不一样的是这些目录下的文件全部实时的写,也是可以的
# 这个不会丢数据,因为他会实时的写哪个文件处理到了哪里到taildir_position.json文件中去,exec就不会,只会监听新的数据  
agent1.sources.taildir_src.type = TAILDIR

# json文件是放的flume的处理文件
# 这个文件需要在目录下创建好,主要是记录flume处理文件处理到哪一条了
# 会报文件找不到,但是数据依旧会在里面,不需要先创建,会自动先创建
agent1.sources.taildir_src.positionFile = /home/hadoop-jrq/dw-course/streaming-etl/taildir_position.json
# 监控两个目录
agent1.sources.taildir_src.filegroups = f1 f2
# 第一个文件目录的数据
agent1.sources.taildir_src.filegroups.f1 = /home/hadoop-jrq/dw-course/streaming-etl/logs/daily/.*log
# app1其实就是对应着f1,下面的%{headerKey1},app2同理,因此这个APP可以随意命名
agent1.sources.taildir_src.headers.f1.headerKey1 = app1
# 第二个文件目录的数据
agent1.sources.taildir_src.filegroups.f2 = /home/hadoop-jrq/dw-course/streaming-etl/logs/daily2/.*log

agent1.sources.taildir_src.headers.f2.headerKey1 = app2
agent1.sources.taildir_src.headers.f2.headerKey2 = app2-2
# 打开这两个开关就会拿到文件的全路径名,默认是关闭了的,这样就会为每个header增加一个header  就是事件所在的文件全名
agent1.sources.taildir_src.fileHeader = true
# key是file,这个值可以任意写
agent1.sources.taildir_src.fileHeaderKey  = file

# The channel can be defined as follows.
agent1.sources.taildir_src.channels = memoryChannel

# Each sink's type must be defined
agent1.sinks.hdfs_sink.type = hdfs
# agent1.sinks.hdfs_sink.hdfs.path = hdfs://mycluster/user/hadoop-jrq/dw-course/user-action-daily
# 演示header的用处
# 这个数据本身是存储在hdfs://mycluster/user/hadoop-jrq/dw-course/user-action-daily/下,但是后面加了header就会把数据只放在app1和app2下
# header的作用就是,监控的数据分开写在hdfs中,这样就可以区分开来了
agent1.sinks.hdfs_sink.hdfs.path = hdfs://mycluster/user/hadoop-jrq/dw-course/user-action-daily/%{headerKey1}

agent1.sinks.hdfs_sink.hdfs.useLocalTimeStamp = true 
# 上面匹配时间的话,需要打开这个开关,这个配置默认是false

agent1.sinks.hdfs_sink.hdfs.round = true
agent1.sinks.hdfs_sink.hdfs.roundValue = 10
agent1.sinks.hdfs_sink.hdfs.roundUnit = minute
# For example, an event with timestamp 11:54:34 AM, June 12, 2012 will cause the hdfs path to become /flume/events/2012-06-12/1150/00.

agent1.sinks.hdfs_sink.hdfs.filePrefix = events 
# 表示文件名的前缀,默认为FlumeData

agent1.sinks.hdfs_sink.hdfs.fileSuffix = .txt 
# 表示文件名的后缀,默认没有后缀

agent1.sinks.hdfs_sink.hdfs.idleTimeout = 0 
# 如果临时文件在这个时间内没有写数据的话,则将这个文件关闭掉,默认等于0,表示不关闭闲文件

agent1.sinks.hdfs_sink.hdfs.batchSize = 100 
# 表示数据每次flush到hdfs的event数,默认就是100

agent1.sinks.hdfs_sink.hdfs.inUsePrefix = events-tmp 
# 表示写临时文件的文件名的前缀,默认没有值

agent1.sinks.hdfs_sink.hdfs.inUseSuffix = .tmp 
# 表示写临时文件的文件名的后缀,默认就是.tmp

agent1.sinks.hdfs_sink.hdfs.rollInterval =30 
# 表示达到了30秒就将临时文件合并成最终文件,默认就是30秒,如果是0的话则表示不按照时间的多少来合并临时文件

agent1.sinks.hdfs_sink.hdfs.rollSize =0 
# 表示文件的大小达到了1024 bytes,则将临时文件合并成最终文件,默认就是1024字节,如0则表示不按照文件大小合并

agent1.sinks.hdfs_sink.hdfs.rollCount =0 
# 表示写入event的数量达到10条的话,则将临时文件合并成最终文件,默认就是10条,如0则表示不按照文件大小合并

agent1.sinks.hdfs_sink.hdfs.fileType = DataStream  
# 表示没有压缩的text文件,默认是SequenceFile,还有CompressedStream表示压缩的文本文件,需要设置hdfs.codeC

# agent1.sinks.hdfs_sink.hdfs.codeC = snappy 
# 可以为:gzip, bzip2, lzo, lzop

#Specify the channel the sink should use
# memoryChannel
agent1.sinks.hdfs_sink.channel = memoryChannel

# 使用Memory Channel.
agent1.channels.memoryChannel.type = memory
# 存储在channel中的最大容量  100个事件,100是默认的
agent1.channels.memoryChannel.capacity = 100
# 从一个source中去或者给一个sink,每个事务中最大的事件数   一次性能扔100个事件到sink里去
agent1.channels.memoryChannel.transactionCapacity = 100
# 增加或者删除一个event的超时时间,其实就是timeout时间
agent1.channels.memoryChannel.keep-alive = 3
# byteCapacity和预估的所有event大小之间的buffer。(为了考虑event headers的大小)
# byteCapacity的大小最多是jvm内存大小的80%  header是20%
agent1.channels.memoryChannel.byteCapacityBufferPercentage = 20
# 内存里面允许存放的所有event的字节的最大值。(只是统计event body的大小)
# 就是内存中最大只能存储80万字节
agent1.channels.memoryChannel.byteCapacity = 800000

三种收集日志的Source对比

exec方式:实时且简单,但是一旦挂了就丢数据,因为它不会写文件记录flume处理到哪里了
spooling directory方式:不会丢数据,但是只满足准实时的场景
TAILDIR方式:不会丢数据,且满足实时的场景,监控多个文件下的数据,推荐使用,但是这只是1.8.0才推出的功能,而且只用于liunx,win目前还不稳定

几种Channels的对比

Memory Channel: 优点是速度快,缺点是可能丢数据、内存是瓶颈(挂掉的时候,内存中的数据会丢失,每秒的数据量很大的时候,可能会把内存撑爆)
File Channel : 优点是不会丢数据,不会有内存瓶颈(吞吐量大),缺点是速度比memory channel慢
Spillable Memory Channel : events先放在内存中,内存不够的话则放在文件中
实验版本,不建议在生产上用

以上三种是flume自带的,不需要依赖其他就可以干活
JDBC Channel(Derby) 、Kafka Channel 在此先不做过多解释

没有合适的昵称
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入理解海量日志收集利器 Flume
JimGray的博客
05-04 2724
一、Flume是什么  Flume是一个分布式、可靠、和高可用的海量日志聚合的系统,支持在系统中定制各类数据发送方,用于收集数据;同时,Flume提供对数据进行简单处理,并写到各种数据接受方(可定制)的能力。二 、Fulme 有什么特点Fulme 特点如下: 1、可靠性  当节点出现故障时,日志能够被传送到其他节点上而不会丢失。Flume提供了三种级别的可靠性保障,从强到弱依次分别为:end-to
常见的几种Flume日志收集场景实战
weixin_34056162的博客
06-06 393
  这里主要介绍几种常见的日志的source来源,包括监控文件型,监控文件内容增量,TCP和HTTP。 Spool类型   用于监控指定目录内数据变更,若有新文件,则将新文件内数据读取上传   在教你一步搭建Flume分布式日志系统最后有介绍此案例 Exec   EXEC执行一个给定的命令获得输出的源,如果要使用tail命令,必选使得file足够大才能看到输出内容 创建agent配置文...
Flume各种采集日志方式与输出目录
热门推荐
彷徨的博客
10-16 1万+
1、从网络端口采集数据输出到控制台 下载与安装见:https://blog.csdn.net/weixin_35353187/article/details/83038297 一个简单的socket 到 console配置     # 定义这个agent中各组件的名字 a1.sources = r1 a1.sinks = k1 a1.channels = c1 # 描述和配置source...
日志采集框架Flume安装,采集案例
bitmao888的博客
04-24 256
文章目录1 Flume介绍1.1 概述1.2 运行机制1.3 Flume采集系统结构图2 Flume的安装部署第一步:下载解压修改配置文件第二步:开发配置文件第三步:启动配置文件第四步:安装telent准备测试3 采集案例3.1 采集目录到HDFS3.2 采集文件到HDFS3.3 两个agent级联 1 Flume介绍 1.1 概述  Flume是一个分布式、可靠、和高可用的海量日志采集、聚合和...
Flume实战案例日志采集
senga's blog
02-23 1046
目标 将A服务器上的日志实时采集到B服务器 技术选型 配置文件 A服务器Flume配置文件:exec_memory_avro.conf exec_memory_avro.sources = exec_source exec_memory_avro.sinks = avro_sink exec_memory_avro.channels = memory_channel exec_memory_a...
04、日志收集系统Flume-flume配置案例.docx
11-30
Apache Flume 是一个分布式、可靠且可用于有效收集、聚合和移动大量日志数据的系统。它具有容错性和高可用性,设计用于将数据从多个源传输到集中存储系统,如 HDFS(Hadoop 分布式文件系统)。在这个文档中,我们将...
04、日志收集系统Flume-flume自定义开发案例.docx
11-30
Apache Flume 是一个分布式、可靠且可用的服务,用于有效地收集、聚合和移动大量日志数据。在本案例中,我们将探讨如何使用 Flume 进行自定义开发,特别是通过 Avro 客户端发送事件到远程 Flume 代理。这个案例展示...
Flume采集日志数据
elsechan的博客
03-16 2344
一、为什么选用FlumeFlume vs Logstash vs Filebeat 当时选择数据采集工具时,我们主要参考了市面上热度比较高的Flume和Logstash还有Filebeat,据目前所知,美团和苏宁用的是FlumeFlume当初的设计初衷就是将数据传送到HDFS中,它更加地注重数据的传输,而Logstash是ELK组件(Elastic Search、Logstash、Kibana)中的一员,侧重于数据预处理。 Flume比Logstash多了一个可靠性策略,在Flume中传输的数据会持
2-网站日志分析案例-基于Flume采集WEB日志-windows版本
IT从业者的成长历程
12-21 1611
本文主要基于Flume实现了日志的采集,本文案例不复杂,但由于基于windows实现的案例不多,笔者尽量把自己遇到的问题描述在博客中,包括编码问题和配置的注意事项,减少大家的试错成本。
(二十二)日志采集框架Flume的介绍与案例
Ares_song的博客
06-24 582
前言 在一个完整的大数据处理系统中,除了hdfs+mapreduce+hive组成分析系统的核心之外,还需要数据采集、结果数据导出、任务调度等不可或缺的辅助系统,而这些辅助工具在hadoop生态体系中都有便捷的开源框架 如图所示: 1.Flume介绍 1.1 概述 Flume是一个分布式、可靠、和高可用的海量日志采集、聚合和传输的系统。 Flume可以采集文件,socket数据包等各种形式源数据,又可以将采集到的数据输出到HDFS、hbase、hive、kafka等众多外部存储系统中
flume收集日志的几种sources的收集实例
jiaoshenmo的博客
05-03 5449
实例1 :类型avro,在flume的conf里面创建一个avro.conf用来测试,如下: a1.sources = r1 a1.sinks = k1 a1.channels = c1# Describe/configure the source a1.sources.r1.type = avro a1.sources.r1.channels = c1 a1.sources.r1.bi
flume采集案例
poplarandwillow的博客
02-15 692
1. 案例场景 A、B两台日志服务机器实时生产日志主要类型为access.log、nginx.log、web.log 现在要求: 把A、B 机器中的access.log、nginx.log、web.log 采集汇总到C机器上然后统一收集到hdfs中。 但是在hdfs中要求的目录为: /source/logs/access/20160101/** /source/logs/nginx/2016010...
生产环境flume日志采集方案
wangwei_5201314的博客
04-16 9247
Flume简介Flume是一个分布式、可靠、和高可用的海量日志采集、聚合和传输的系统。 支持在日志系统中定制各类数据发送方,用于收集数据; 同时,Flume提供对数据进行简单处理,并写到各种数据接受方(比如文本、HDFS、Hbase等)的能力。 名词介绍: Flume OG:Flume original generation,即Flume0.9x版本 Flume NG:Flume next gen...
Flume日志收集
xuanliang_cpy的博客
09-03 225
Flume学习: Flume简介: Flume是Cloudera提供的一个高可靠、高可用、分布式的海量日志收集、聚合和传输的系统。 Flume工作原理:Flume的数据流由事件Event贯穿始终,事件是flume的基本单位,它携带数据(字节数组的形式)并且携带头信息,这些Event由Agent外部的source生成,当Source捕获事件后会进行特定的格式化,然后Source会把事件推入单个或...
Flume案例五:实时监控多个目录下多个追加文件(Taildir Source)
扛麻袋的少年的博客
06-24 1840
五、Flume案例五:实时监控多个目录下多个追加文件(Taildir Source)(选型:taildir source + memory channel + hdfs sink)
flume系统日志
最新发布
06-01
Flume的系统日志默认存储在控制台或者标准输出流中,如果需要将日志保存到文件中,可以通过配置log4j.properties文件实现。 1. 打开Flume的安装目录,找到conf目录,创建一个名为log4j.properties的文件。 2. 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值