文章目录
1、Flume定义
Flume是Cloudera提供的一个高可用的,高可靠的,分布式的海量日志采集、聚合和传输的系统。Flume基于流式架构,灵活简单。
2、基础架构
上图的理解:可以把source看成事一个读的流程,Channel相当于是一个Buffer(缓冲区),Sink是一个写的流程。
1)、Agent:
Agent是一个JVM进程,它以事件的形式将数据从源头送至目的。
Agent主要有3个部分组成,Source、Channel、Sink。
2)、Source:
Source是负责接收数据到Flume Agent的组件。Source组件可以处理各种类型、各种格式的日志数据,包括avro、thrift、exec、jms、spooling directory、netcat、sequence generator、syslog、http、legacy。
3)、Sink:
Sink不断地轮询Channel中的事件且批量地移除它们,并将这些事件批量写入到存储或索引系统、或者被发送到另一个Flume Agent。
Sink组件目的地包括hdfs、logger、avro、thrift、ipc、file、HBase、solr、自定义。
4)、Channel:
Channel是位于Source和Sink之间的缓冲区。因此,Channel允许Source和Sink运作在不同的速率上。Channel是线程安全的,可以同时处理几个Source的写入操作和几个Sink的读取操作。
Flume自带两种Channel:Memory Channel和File Channel。
Memory Channel是内存中的队列。Memory Channel在不需要关心数据丢失的情景下适用。如果需要关心数据丢失,那么Memory Channel就不应该使用,因为程序死亡、机器宕机或者重启都会导致数据丢失。
File Channel将所有事件写到磁盘。因此在程序关闭或机器宕机的情况下不会丢失数据。
★5)、Event:
传输单元,Flume数据传输的基本单元,以Event的形式将数据从源头送至目的地。Event由Header和Body两部分组成,Header用来存放该event的一些属性,为K-V结构,Body用来存放该条数据,形式为字节数组。
Header一般都是空的,Body是数据
3、Flume安装(Flume-1.6.0)及介绍
1)、安装步骤
1.通过Xftp把.gz包上传到虚拟机
2.tar zxvf apache-flume-1.8.0-bin.tar.gz
重命名:mv apache-flume-1.6.0-bin flume-1.6.0
打开 vi /etc/profile
3.配置flume环境变量量
添加#Flume
export FLUME_HOME=/usr/local/soft/flume-1.6.0
export PATH=.:$JAVA_HOME/bin:$FLUME_HOME/bin:$PATH
4.修改flume的配置文件:
cp flume-env.sh.template flume-env.sh
在文件中增加JAVA_HOME
5,如果使用hdfs作为sink的,需要将hdfs相关的jar导入flume的lib包
下
2)、版本介绍
Flume大的版本分为0.9之前和0.9之后
0.9之前 : flume og
0.9之后 : flume ng
3)、Flume运行agent的命令介绍
①、第一种方式
flume-ng agent --name agent的名字 --conf 配置文件的目录 --conf-file agent的配置文件(自己手动写)
-Dflume.root.logger=INFO,console
--name / -n
--conf / -c
--conf-file / -f
②、第二种方式
flume-ng agent -n agent的名字 -c 配置文件的目录 -f agent的配置文件(自己手动写)
-Dflume.root.logger=INFO,console
说明 :将日志文件写入到控制台上
具体补充:
参数说明:
--conf/-c:表示配置文件存储在conf/目录
--name/-n:表示给agent起名为a1
--conf-file/-f:flume本次启动读取的配置文件是在job文件夹下的flume-telnet.conf文件。
-Dflume.root.logger=INFO,console :-D表示flume运行时动态修改flume.root.logger参数属性值,并将控制台日志打印级别设置为INFO级别。日志级别包括:log、info、warn、error。
3)、agent的配置文件基本介绍
①、需要定义agent的名字还需要定义source、channel、sink(叫什么,有几个)
②、需要对source、channel、sink指明具体的类型和配置
③、需要指明source、channel、sink三者之间的关系
4、案例一:监控端口数据
1)、需求
使用Flume监听一个端口,收集该端口数据,并打印到控制台。
2)、需求分析
3)、实现步骤
①、安装netcat工具
yum install -y nc
补充:介绍netcat的使用
具体操作命令(基于tcp协议)
监听 : nc -l 端口号
发送 : nc 主机名(IP地址) 端口号
注意:①监听和发送的端口号必须一致 ②端口号必须在范围之内的 ③先启动监听端再启动发送端
②、判断44444端口是否被占用
netstat -tunlp | grep 44444
③、创建Flume Agent配置文件netcatsource_loggersink.conf
在flume目录下创建datas文件夹并进入datas文件夹,在datas文件夹下创建Flume Agent配置文件netcatsource_loggersink.conf,写入如下内容:
# a1是agent的名字
# 定义的source、channel、sink的个数可以是多个,中间用空格隔开
# 定义的名字可以随便起,最好可以和官网的案例一致,方便后面查询
# 定义source
a1.sources = r1
# 定义sink
a1.sinks = k1
# 定义channel
a1.channels = c1
# 声明source具体的类型和对应的配置(属性)
# 监听的类型
a1.sources.r1.type = netcat
# 监听的主机ip
a1.sources.r1.bind = test
# 监听的端口号
a1.sources.r1.port = 44444
# 声明sink具体的类型和对应的一些配置
# sink的类型
a1.sinks.k1.type = logger
# 声明channel具体的类型和对应的一些配置
# channel的类型
a1.channels.c1.type = memory
# channel中的event的数量
a1.channels.c1.capacity = 1000
# channel的
a1.channels.c1.transactionCapacity = 100
# 声明source、sink、channel之间的关系
a1.sources.r1.channels = c1
# 注意:一个sink只能对应一个channel
a1.sinks.k1.channel = c1
④、运行,开启flume监听端口
flume-ng agent --name a1 --conf conf/ --conf-file datas/netcatsource_loggersink.conf -Dflume.root.logger=INFO,console
⑤、使用netcat工具向本机的44444端口发送内容
nc test 44444
⑥、在Flume监听页面观察接收数据情况
拓展:如果想把监听页面的数据在日志文件中显示
修改flume下conf目录下的log4j.properties文件,将输出指定在某个文件下输出,这里修改的是flume下新建的logs目录下,之后在执行的时候不加-Dflume.root.logger=INFO,console这个就可输出在该目录下flume.log文件中:
5、案例二:实时监控单个追加文件
1)、需求
实时监控Hive日志,并上传到HDFS中
2)、需求分析
3)、实现步骤
①、创建本地log文件
这边暂用本地自创的一个123.log文件代替需求中的hivelog文件
②、编写配置文件execsource_hdfssink.conf
在datas目录下新建execsource_hdfssink.conf文件,编写以下内容
#1、自定义agent的名字source、channel、sink组件
a2.sources = r2
a2.channels = c2
a2.sinks = k2
#2、设置source的类型和配置
a2.sources.r2.type = exec
a2.sources.r2.command = tail -F /usr/local/soft/flume-1.6.0/demo1/123.log
#3、设置channel的类型和配置
a2.channels.c2.type = memory
a2.channels.c2.capacity = 1000
#4、设置sink的类型和配置
# Describe the sink
a2.sinks.k2.type = hdfs
#如果要使用时间转义序列那么两个要求要满足其一即可①使用本地时间戳②在event中header中必须有时间戳
a2.sinks.k2.hdfs.path = hdfs://test:9000/flume/%Y%m%d/%H
#是否使用本地时间戳
a2.sinks.k2.hdfs.useLocalTimeStamp = true
#上传文件的前缀
a2.sinks.k2.hdfs.filePrefix = logs-
#下面三个配置决定了多少时间创建一个新的目录
#是否按照时间滚动文件夹
a2.sinks.k2.hdfs.round = true
#多少时间单位创建一个新的文件夹
a2.sinks.k2.hdfs.roundValue = 1
#重新定义时间单位
a2.sinks.k2.hdfs.roundUnit = hour
#积攒多少个Event才flush到HDFS一次
a2.sinks.k2.hdfs.batchSize = 100
#设置文件类型,可支持压缩
a2.sinks.k2.hdfs.fileType = DataStream
#多久生成一个新的文件(60秒)
a2.sinks.k2.hdfs.rollInterval = 60
#设置每个文件的滚动(创建一个新的文件将后面内容写到新的文件内)大小
a2.sinks.k2.hdfs.rollSize = 134217700
#文件的滚动与Event数量无关(写0的意思就是禁用)
a2.sinks.k2.hdfs.rollCount = 0
# Bind the source and sink to the channel
a2.sources.r2.channels = c2
a2.sinks.k2.channel = c2
③、运行,开启flume
flume-ng agent -n a2 -c conf/ -f datas/execsource_hdfssink.conf -Dflume.root.logger=INFO,console
④、刷新hdfs,查看结果,并追加文件验证结果
6、案例三:实时监控目录下多个新文件
1)、需求
使用Flume监听整个目录的文件,并上传至HDFS
2)、需求分析
3)、实现步骤
①、同二创建本地目录
在flume目录下创建demo2
②、编写配置文件
a2.sources = r2
a2.channels = c2
a2.sinks = k2
#Spooling Directory Source : 用来监听一个目录进行自动收集目录中的内容
#1.当目录中某一个log文件的内容被读取完毕后,该文件有两种处理方案:
# ①删除 ②在原来文件的名字后加.COMPLETED --- 取决于 deletePolicy的设置
#2.在原来文件的名字后加.COMPLETED就是为标识该文件已经被读取完毕
#注意 :该目录中的文件名不能相同,如果相同则会抛异常
a2.sources.r2.type = spooldir
a2.sources.r2.spoolDir = /usr/local/soft/flume-1.6.0/demo2
a2.sources.r2.fileSuffix = .COMPLETED
#3.设置channel的类型和配置
a2.channels.c2.type = memory
a2.channels.c2.capacity = 1000
#4.设置sink的类型和配置
# Describe the sink
a2.sinks.k2.type = hdfs
#如果要使用时间转义序列那么两个要求满足其一即可①使用本地时间戳 ②在event中headers中必须有时间戳
a2.sinks.k2.hdfs.path = hdfs://test:9000/flume/%Y%m%d/%H
#是否使用本地时间戳
a2.sinks.k2.hdfs.useLocalTimeStamp = true
#上传文件的前缀
a2.sinks.k2.hdfs.filePrefix = logs-
#下面三个配置就决定了多少时间创建一个新的目录
#是否按照时间滚动文件夹
a2.sinks.k2.hdfs.round = true
#多少时间单位创建一个新的文件夹
a2.sinks.k2.hdfs.roundValue = 1
#重新定义时间单位
a2.sinks.k2.hdfs.roundUnit = hour
#积攒多少个Event才flush到HDFS一次
a2.sinks.k2.hdfs.batchSize = 100
#设置文件类型,可支持压缩
a2.sinks.k2.hdfs.fileType = DataStream
#多久生成一个新的文件(60秒)
a2.sinks.k2.hdfs.rollInterval = 60
#设置每个文件的滚动(创建一个新的文件后面的内容将写到新的文件中)大小
a2.sinks.k2.hdfs.rollSize = 134217700
#文件的滚动与Event数量无关(写0的意思是停用)
a2.sinks.k2.hdfs.rollCount = 0
a2.sources.r2.channels = c2
a2.sinks.k2.channel = c2
③、运行,开启flume
flume-ng agent -n a2 -c conf/ -f datas/spoolsource_hdfssink.conf -Dflume.root.logger=INFO,console
④、随意新建一个带内容的log文件mv到demo2下
⑤、查看文件后缀并查看hdfs上结果显示
补充①:文件扩展名
加了文件扩展名就是为了防止文件重读,这样可以标识哪些文件读过,哪些文件没有读,而且往扩展名里写数据也没用,已经他已经有后缀,不会再读。
补充②:同名文件导入
会抛出异常,不会读取重名文件
这个时候我们改名可以嘛?没用,因为这个时候flume已经挂了,只能去重新启动,重新启动完发现改完名字的文件已经加上后缀,说明已经被读。
补充③:读完为什么不删除
读完立刻删除是需要加属性的(deletePolicy)默认的是never(永不删除),可以改成immediate,一般不会选择删除。