解决flume SyslogTCP 日志长度超限问题

最新推荐文章于 2024-04-30 23:32:15 发布
最新推荐文章于 2024-04-30 23:32:15 发布
阅读量2k 收藏
点赞数 1
分类专栏: 大数据 文章标签: flume 大数据 big data
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49227503/article/details/122081483
版权

日志采集之前一直使用的是syslogUDP的方式,因为采集的是网络流量日志,所以对于日志数量丢失没有太在意,一次偶然的对数发现syslogUDP方式丢包太过严重,经排查发现使用rsyslog方式发送UDP报文时除去头部,body长度超过1472字节时会被截断,于是flume采集时拦截器进行json校验不通过。
解决方案:牺牲性能,换syslogTCP
更换syslogTCP后进行测试时,发送较长报文,tcpdump抓包有数据,kafka中无数据,推测flume采集出错,查看flume日志发现如下信息:

2021-12-22 10:55:07,672 WARN org.apache.flume.source.SyslogUtils: Event size larger than specified event size: 2500. You should consider increasing your event size.
2021-12-22 10:55:07,673 WARN org.apache.flume.source.SyslogUtils: Event created from Invalid Syslog data.

日志长度超过2500字节,flume提示无效数据
查看flume对应org.apache.flume.source.SyslogUtils源码:

public static final Integer MIN_SIZE = 10;
public static final Integer DEFAULT_SIZE = 2500;

指定默认最小长度为10,最大长度为2500
查找报错长度超限的校验逻辑:

if (isBadEvent) {
        logger.warn("Event created from Invalid Syslog data.");
        headers.put(EVENT_STATUS, SyslogStatus.INVALID.getSyslogStatus());
      } else if (isIncompleteEvent) {
        logger.warn("Event size larger than specified event size: {}. You should " +
            "consider increasing your event size.", maxSize);
        headers.put(EVENT_STATUS, SyslogStatus.INCOMPLETE.getSyslogStatus());
      }

当event size大于maxSize时会有如上日志输出
查看maxSize的指定:

private Integer maxSize;

maxSize为私有属性

public SyslogUtils(Integer eventSize, Set<String> keepFields, boolean isUdp, Clock clock) {
    this.isUdp = isUdp;
    this.clock = clock;
    isBadEvent = false;
    isIncompleteEvent = false;
    maxSize = (eventSize < MIN_SIZE) ? MIN_SIZE : eventSize;
    baos = new ByteArrayOutputStream(eventSize);
    this.keepFields = keepFields;
    initHeaderFormats();
  }

在构造器中判断eventSize与MIN_SIZE大小,eventSize为传入参数
同时存在setEventSize方法被SyslogTcpSource与SyslogUdpSource类所引用

public void setEventSize(Integer eventSize) {
    this.maxSize = eventSize;
  }

判断eventSize为配置文件中可指定参数,查看flume官网关于syslogTCP参数列表:
在这里插入图片描述
指定参数:

a1.sources.r1.eventSize = 5000

重启flume,问题解决

丰友强
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker容器中运行flume及启动不输出运行日志问题
09-30
主要介绍了 Docker容器中运行flume及启动不输出运行日志问题解决方法,需要的朋友参考下吧
Syslog 每条消息最大长度分析
julykobe的专栏
09-24 1万+
问题syslog 就不多说了,最近碰到一个问题:在用LogInsight的时候,一条日志会被分成两条,第一条以…结尾,第二条以…开头,并且第二条没有被正确的建立索引。想了一下由于是用log4j发的syslog消息,所以消息被分割可能是log4j的问题,于是看了一下代码,找到这么两块:if(packet.length() > 256) { this.splitPacket(hdr, packet
使用logback发送syslog日志syslog发送UDP/TCP协议、自定义Appender发送syslog日志
qq_51785096的博客
02-02 1091
记录日志是程序开发中不可或缺的一个重要功能,一般的做法都是将日志输出至控制台或持节化到文件中存储,这样可以在出现问题时,及时通过日志排查报错原因。syslog也是日志的一种形式,这代表着日志的格式,以及需要有客户端和服务端,通过网络将这些日志发送至服务端。客户的需求中也很常见需要有可以发送syslog日志的功能。
Syslog详细介绍:日志管理和远程日志传输
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
06-03 2933
Syslog详细介绍:日志管理和远程日志传输
关于syslog
热门推荐
smstong的成长轨迹
05-13 3万+
syslog架构 Unix/Linux系统中的大部分日志都是通过一种叫做syslog的机制产生和维护的。syslog是一种标准的协议,分为客户端和服务器端,客户端是产生日志消息的一方,而服务器端负责接收客户端发送来的日志消息,并做出保存到特定的日志文件中或者其他方式的处理。 在Linux中,常见的syslog服务器端程序是syslogd守护程序。这个程序可以从三个地方接收日志消息:(1
支持tcp连接的syslog服务器
新雪兰
04-28 2529
1、kiwi_syslog_server,syslog服务器安装包如下: 链接:https://pan.baidu.com/s/1cHKtB_NfapsvgBcXOgifyQ 提取码:0epv 2、直接下一步安装即可 3、点击配置,配置syslog服务器 4、勾选UDP及tcp服务,就可以同时开启tcp和udp的syslog服务了 ...
发送基于TCP,UDP协议的syslog日志的库
07-23
syslog4j源代码的基础上进行了裁减和修改,修改了几个参数,可以发数据长度81920的日志,原设计中发送syslog时将日志交给线程发送,不能捕捉发送异常,本版本采用直接发送方式来捕捉异常。原syslog4j实现了一个简单的接收syslog 的server,本版本中未包含
Flume日志长度2048超长问题解决
u013716179的博客
09-29 2594
最近笔者在使用Flume-1.7进行日志收集的时候,遇到了日志长度超出2048限制等一系列问题,经过一天的排查终于将问题解决,在此将问题记录下来,并提供了修改后的flume-ng-core-1.7.0下载包,供后来的同学参考 ** 问题描述 首先,笔者发现问题是由于发现近期日志总量变少,去排查了Flume的运行日志,发现原因是大量的日志被拦截器干掉了(此处笔者使用了自定义拦截器,对于日志...
Flume接收消息出现FAILED:Event exceeds the maximum length(512 chars, including newline)
【叫我姜同学】的个人博客
06-11 394
使用Flume的过程中,模拟网络发送数据的时候出现如下问题:如图所示 由于在配置文件中没有配置接收数据的最大长度,而默认是512字符,但我发送的数据字符是远大于512的,所以会出现此问题解决办法就是在配置文件中增加接收数据最大长度的配置信息,具体如下: 其中,a1, r1, 为配置文件中自定的变量名,记得换成你自己的,10240位容量,可自定义。 如图所示 最后,解决问题。...
利用flume接收syslog日志
普普通通程序猿的博客
07-28 1252
前提:每台服务器上都部署有rsyslog服务 修改rsyslog配置文件:/etc/rsyslog.conf (CentOS操作系统) 添加一行:. @@10.10.10.1:514 如果只想发送info级别的日志,则配置方式为:*.info @@10.10.10.1:514 其中:10.10.10.1为远端接收日志服务器的域名或IP地址;514为远端日志服务器的端口。 注意:@@是必须的,一个@表示UDP连接;@@表示TCP连接 修改完成后,重启rsyslog服务:service rs
flume 对指定日志进行读取
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
07-06 798
本实验任务主要完成基于ubuntu环境使用flume对指定目录下的日志文件进行读取,通过完成本实验任务,要求学生了解并掌握flume对指定数据文件内容的获取,为从事大数据平台运维工程师、大数据技术支持工程师等岗位工作奠定夯实的技能基础。掌握flume的应用原理   掌握flume日志信息的采集过程本次环境是:Ubuntu16.04+flume-ng-1.5.0-cdh5.3.6Flume是Cloudera提供的日志收集系统,Flume支持在日志系统中定制各类数据发送方,用于收集数据;同时,Flume提供对
Flume日志收集
02-25
Flume是一个分布式、可靠、和高可用的海量日志聚合的系统,支持在系统中定制各类数据发送方,用于收集数据;同时,Flume提供对数据进行简单处理,并写到各种数据接受方(可定制)的能力。(1)可靠性当节点出现故障时...
日志收集之Flume
02-25
日志是系统数据的基石,对于系统的安全来说...Cloudera开发的分布式日志收集系统Flume,是hadoop周边组件之一。其可以实时的将分布在不同节点、机器上的日志收集到hdfs中。Flume初始的发行版本目前被统称为FlumeOG(ori
已上线的日志采集系统,使用flume收集日志.zip
01-04
已上线的日志采集系统,使用flume收集日志,通过logstash将日志中的数据根据规则进行结构化,最后把结构化数据写入kafka,供消费者使用。
flume配置
yujinlong2002的博客
04-26 299
删除Flume安装目录的lib目录下的guava-11.0.2.jar包,之后查看/etc/profile文件中的Hadoop安装目录,将Hadoop安装目录的/share/hadoop/common/lib/目录中的guava-27.0-jre.jar复制至Flume安装目录的lib目录。进入Flume安装目录的conf目录,将flume-env.sh.template重命名为flume-env.sh,Java安装目录添加至flume-env.sh文件末尾。个人笔记:仅供参考如有错误望指正。
ES集群分布式查询原理
最新发布
weixin_53676834的博客
04-30 240
当新增文档时,应该保存到不同分片,保证数据均衡,那么coordinating node如何确定数据该存储到哪个分片呢?2)对id做hash运算,假如得到的是2,则应该存储到shard-2。3)shard-2的主分片在node3节点,将数据路由到node3。5)同步给shard-2的副本replica-2,在node2节点。6)返回结果给coordinating-node节点。1)新增一个id=1的文档。
云计算知识点-02
lv785的博客
04-27 1105
DataNode是HDFS文件系统的工作节点,DataNode会按照客户端或者是NameNode的调度来存储和检索数据,并定期向NameNode发送它所存储的数据块列表,DataNode是文件系统中真正存储数据的地方。通过这种虚拟化可以减少服务器的数量,提高服务器的使用效率,可以在一定程度上摆脱物理上的空间限制,实现随时随地随需的自由掌控。Glance(镜像服务组件),其作用是:提供虚拟机镜像的存储,查询和检索功能,为nova进行服务,依赖于存储服务(存储镜像本身)和数据库服务(存储镜像相关的数据)。
哪些情况下左联接的数据量比左表大?
Java/Python/大数据干货分享
04-26 360
本文主要探讨SQL和Pandas左连接数据量比左表大的问题。在某些情况下,执行左连接时,SQL和Pandas输出的结果会比左表数据量大。这是为什么呢?左连接是关系型数据库中最常见的连接之一。它的作用是从左表中取出所有的行,以及与右表匹配的所有行。如果某个行在右表中没有匹配到,则会在输出结果中以NULL的形式呈现1)左表与右表为一对多或多对多2)左表与右表关联键都存在空值NULL1)视情景删除或聚合右表中重复关联键的数据2)过滤表中关联键值为NULL的行。
25计算机考研院校数据分析 | 四川大学
m0_72717598的博客
04-24 668
复试成绩总分为200分,其中笔试部分占100分,面试占60分,外语能力测试占40分,笔试、面试和外语听说能力成绩之和为复试成绩,复试成绩折合成百分制应不低于60分,否则视为复试不合格,不予录取。复试成绩总分为200分,其中笔试部分占100分,面试占60分,外语能力测试占40分,笔试、面试和外语听说能力成绩之和为复试成绩。复试成绩折合成百分制应不低于60分,否则视为复试不合格,不予录取。复试成绩总分为200分,其中笔试部分和实践能力部分共占120分,面试占80分,笔试和面试成绩之和为复试成绩。
flume系统日志
06-01
Flume的系统日志默认存储在控制台或者标准输出流中,如果需要将日志保存到文件中,可以通过配置log4j.properties文件实现。 1. 打开Flume的安装目录,找到conf目录,创建一个名为log4j.properties的文件。 2. 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值