Flume event转化为ES的document过程分析

最新推荐文章于 2022-09-02 14:41:27 发布
最新推荐文章于 2022-09-02 14:41:27 发布
阅读量2.5k 收藏
点赞数
分类专栏: flume
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeruby/article/details/51448183
版权

使用更改后的MultiExecSource + MemoryChannel + ElasticsearchSink 将flume收集到的日志信息发送到es集群中。


一条flume event的构成

一个flume event由 header + body 构成:

/**
 * Basic representation of a data object in Flume.
 * Provides access to data as it flows through the system.
 */
public interface Event {

  /**
   * Returns a map of name-value pairs describing the data stored in the body.
   */
  public Map<String, String> getHeaders();

  /**
   * Set the event headers
   * @param headers Map of headers to replace the current headers.
   */
  public void setHeaders(Map<String, String> headers);

  /**
   * Returns the raw byte array of the data contained in this event.
   */
  public byte[] getBody();

  /**
   * Sets the raw byte array of the data contained in this event.
   * @param body The data.
   */
  public void setBody(byte[] body);

}

如果使用Source使用ExecSource读取文件,那么默认body就是每一行的内容,headers可以通过interceptor来添加。


一条es document的构成

比如,使用ElasticsearchSink,往es里导入数据,es中的索引信息如下:

[root@10 /data/home/ambari]#   curl -XGET 'http://localhost:9200/log-2016-04-20/_mapping/log?pretty'             
{
  "log-2016-04-20" : {
    "mappings" : {
      "log" : {
        "properties" : {
          "@message" : {
            "type" : "string"
          },
          "@timestamp" : {
            "type" : "date",
            "format" : "dateOptionalTime"
          },
          "component" : {
            "type" : "string"
          },
          "content" : {
            "type" : "string"
          },
          "fileName" : {
            "type" : "string"
          },
          "hostname" : {
            "type" : "string"
          },
          "level" : {
            "type" : "string"
          },
          "offset" : {
            "type" : "long"
          },
          "service" : {
            "type" : "string"
          },
          "timestamps" : {
            "type" : "string"
          }
        }
      }
    }
  }
}

这里面,@message是flume event的body,其余的field是flume event的headers中的每一个header构建而来。


转化过程

构建过程在ElasticSearchLogStashEventSerializer.java中可以找到:

  @Override
  public XContentBuilder getContentBuilder(Event event) throws IOException {
    XContentBuilder builder = jsonBuilder().startObject();
    appendBody(builder, event);
    appendHeaders(builder, event);
    return builder;
  }

可以看到,appendBody是把event的body加到es里的document中,appendHeaders是把event的headers加到es里的document中,默认一个flume event对应一个es document。

source的配置如下(有6个interceptor,其中的一个interceptor又产生了3个header):

# source1:hdfs_datanode_src ----------
agent.sources.hdfs_datanode_src.type = com.pku.flume.MultiLineExecSource
agent.sources.hdfs_datanode_src.command = tail -F /var/log/hdfs/hdfs/hadoop-hdfs-datanode-192.168.37.3.log
agent.sources.hdfs_datanode_src.channels = memoryChannel
agent.sources.hdfs_datanode_src.restart = true
# interceptor
agent.sources.hdfs_datanode_src.interceptors = i1 i2 i3 i4 i5 i6
agent.sources.hdfs_datanode_src.interceptors.i1.type = host
agent.sources.hdfs_datanode_src.interceptors.i1.useIP = true
agent.sources.hdfs_datanode_src.interceptors.i1.hostHeader = hostname
agent.sources.hdfs_datanode_src.interceptors.i1.preserveExisting = false
agent.sources.hdfs_datanode_src.interceptors.i2.type = static
agent.sources.hdfs_datanode_src.interceptors.i2.key = service
agent.sources.hdfs_datanode_src.interceptors.i2.value = hdfs
agent.sources.hdfs_datanode_src.interceptors.i3.type = static
agent.sources.hdfs_datanode_src.interceptors.i3.key = component
agent.sources.hdfs_datanode_src.interceptors.i3.value = datanode
agent.sources.hdfs_datanode_src.interceptors.i4.type = timestamp

agent.sources.hdfs_datanode_src.interceptors.i5.type = regex_extractor
agent.sources.hdfs_datanode_src.interceptors.i5.regex = ^(?:\\n)?(.+)\\s(INFO|ERROR|WARN|DEBUG|FATAL)\\s(.+)$
agent.sources.hdfs_datanode_src.interceptors.i5.serializers = s1 s2 s3
agent.sources.hdfs_datanode_src.interceptors.i5.serializers.s1.name = timestamps
agent.sources.hdfs_datanode_src.interceptors.i5.serializers.s2.name = level
agent.sources.hdfs_datanode_src.interceptors.i5.serializers.s3.name = content

agent.sources.hdfs_datanode_src.interceptors.i6.type = static
agent.sources.hdfs_datanode_src.interceptors.i6.key = fileName
agent.sources.hdfs_datanode_src.interceptors.i6.value = hadoop-hdfs-datanode-192.168.37.3.log

一个flume event转化为es的一个document的对应关系如下:

flume body:

body -> @message

flume headers:

hostname(interceptor加入的) -> hostname(类型string)
service(interceptor加入的) -> service(类型string)
component(interceptor加入的) -> component(类型string)
timestamp(interceptor加入的) -> @timestamp(类型date)
timestamps(interceptor加入的) -> timestamps(类型string)
level(interceptor加入的) -> level(类型string)
content(interceptor加入的) -> content(类型string)
fileName(interceptor加入的) -> fileName(类型string)
offset(在MultiLineExecSource的run过程加入的) -> offset(类型long)


遇到的错误

实际测试过程中遇到过这样一类错误:

19 Apr 2016 13:33:00,734 ERROR [SinkRunner-PollingRunner-DefaultSinkProcessor] (org.apache.flume.SinkRunner$PollingRunner.run:160)  - Unable to deliver event. Exception follows.
org.apache.flume.EventDeliveryException: Failed to commit transaction. Transaction rolled back.
        at org.apache.flume.sink.elasticsearch.ElasticSearchSink.process(ElasticSearchSink.java:227)
        at org.apache.flume.sink.DefaultSinkProcessor.process(DefaultSinkProcessor.java:68)
        at org.apache.flume.SinkRunner$PollingRunner.run(SinkRunner.java:147)
        at java.lang.Thread.run(Thread.java:745)
Caused by: org.elasticsearch.common.jackson.core.JsonParseException: Unrecognized token 'Topic': was expecting ('true', 'false' or 'null')
 at [Source: [B@6e1faec2; line: 1, column: 7]
        at org.elasticsearch.common.jackson.core.JsonParser._constructError(JsonParser.java:1487)
        at org.elasticsearch.common.jackson.core.base.ParserMinimalBase._reportError(ParserMinimalBase.java:518)
        at org.elasticsearch.common.jackson.core.json.UTF8StreamJsonParser._reportInvalidToken(UTF8StreamJsonParser.java:3323)
        at org.elasticsearch.common.jackson.core.json.UTF8StreamJsonParser._handleUnexpectedValue(UTF8StreamJsonParser.java:2482)
        at org.elasticsearch.common.jackson.core.json.UTF8StreamJsonParser._nextTokenNotInObject(UTF8StreamJsonParser.java:801)
        at org.elasticsearch.common.jackson.core.json.UTF8StreamJsonParser.nextToken(UTF8StreamJsonParser.java:697)
        at org.elasticsearch.common.xcontent.json.JsonXContentParser.nextToken(JsonXContentParser.java:51)
        at org.apache.flume.sink.elasticsearch.ContentBuilderUtil.addComplexField(ContentBuilderUtil.java:60)
        at org.apache.flume.sink.elasticsearch.ContentBuilderUtil.appendField(ContentBuilderUtil.java:47)
        at org.apache.flume.sink.elasticsearch.ElasticSearchLogStashEventSerializer.appendHeaders(ElasticSearchLogStashEventSerializer.java:162)
        at org.apache.flume.sink.elasticsearch.ElasticSearchLogStashEventSerializer.getContentBuilder(ElasticSearchLogStashEventSerializer.java:92)
        at org.apache.flume.sink.elasticsearch.ElasticSearchLogStashEventSerializer.getContentBuilder(ElasticSearchLogStashEventSerializer.java:76)
        at org.apache.flume.sink.elasticsearch.client.ElasticSearchTransportClient.addEvent(ElasticSearchTransportClient.java:166)
        at org.apache.flume.sink.elasticsearch.ElasticSearchSink.process(ElasticSearchSink.java:189)
        ... 3 more

BUG出现的原因:sink出现没有被捕获,导致sink无法正常运行

BUG会导致的问题:这样会导致sink一直不能消费channel中的event,channel中的event因此一直积压发不出去,导致内存占用过高,一直做GC。

Flume社区有这个issue的解决办法:
https://issues.apache.org/jira/browse/FLUME-2769

需要修改flume1.6.0源码,目前看来是flume的一个bug,修复办法:
https://github.com/agentgt/flume/commit/09089257df239eeac942ef64b2d24c68efb5bec7

即出现异常时捕获该异常,强制结束该event的相应header转换为document的一个field的过程。

qwurey
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j+flume+es的配置
七月流星
08-10 696
1、配置pom &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation=...
Flume 根据字段进行路由插入 ES
04-26
基于Flume-1.8.0,ES-5.6.11 , 根据某个字段创建 type ,进行路由批量插入 ES,使用redis 缓存已从MySQL 查出的转换数据
Flume+Elasticsearch搭建实时日志分析系统
iteye_14970的博客
10-30 1249
最近做一个检测全球网络状况的项目,主要用于检测全球各个国家,地区的机房网络状况,服务的性能,DNS解析等等...情况的数据,通过中央服务器添加任务,下发任务到部署在全球各个国家和地区的minipc,minipc将获取到的数据反馈到监控服务,然后进行数据整合和分析提供报表,供公司更有针对性的优化网站性能。 之所以采用Flume + Elasticsearch,而没有采用ELK(elasticsea...
通过Flume拉取Kafka数据保存到ES
Meyao's Blog
06-08 4846
通过Flume拉取Kafka数据保存到ES
Flume】【源码分析flume中事件Event的数据结构分析以及Event分流
三也_攻城狮
02-12 1万+
无意中发现了一个巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,而且非常风趣幽默,像看小说一样!觉得太牛了,所以分享给大家。点这里可以跳转到教程。 前言 首先来看一下flume官网中对Event的定义 一行文本内容会被反序列化成一个event【序列化是将对象状态转换为可保持或传输的格式的过程。与序列化相对的是反序列化,它将流转换为对象。这两个过程结合起来,可以轻松地...
flume-ng-elasticsearch6-sink.zip
05-29
flume1.9采集数据入存入elasticsearch6.2.4,flume1.9本身只支持低版本的elasticsearch,基于apache-flume-1.9.0-src的flume-ng-sinks/flume-ng-elasticsearch-sink源码修改,支持es6.2.4,打的包,直接替换flume/...
flume-ng-elasticsearch-sink-1.9.0.jar
09-19
flume1.9 sink支持elasticsearch6.x;采用源码重构的方式;个人测试功能完善,但未投入生产使用,请读者自行考虑慎重使用
flume-ng-elasticsearch-sink-6.5.4.jar.zip
05-13
这里,`esSink`将从`channel1`获取数据,并将其发送到Elasticsearch,索引名为`flume_log`,类型为`log`,而`localhost:9200`是Elasticsearch服务器的地址。 3. **Elasticsearch 6.5.4兼容性** `flume-ng-elastic...
flume-customize:支持 flume 落地高版本es 支持flume 落地 hbase+elasticsearch
05-10
本项目“flume-customize”旨在扩展Flume的功能,使其能够支持更高版本的Elasticsearch(ES)以及同时将数据落地到HBase和Elasticsearch。以下是关于这个项目及其相关知识点的详细说明: 1. **Flume**: Flume是...
flume-ng-elasticsearch-sink-1.8.0.jar
09-18
Flume中的ElasticSearchSink支持Flume与Elasticsearch整合,可以将Flume采集的数据传输到Elasticsearch中,Flume版本:1.8.0,ElasticSearchSink版本:6.2.4
Flume 读取本地数据输出到 HDFS/Kafka
10-24 868
一、介绍 Flume是一种分布式,可靠且可用的服务,用于有效地收集,聚合和移动大量日志数据。它具有基于流数据流的简单灵活的体系结构。它具有可调整的可靠性机制以及许多故障转移和恢复机制,具有强大的功能和容错能力。它使用一个简单的可扩展数据模型,允许在线分析应用程序。 1.9.0版是Flume的第11版,是Apache顶级项目。Flume 1.9.0是稳定的,可立即投入生产的软件,并且与Flume 1.x代码行的早期版本向后兼容。 此版本进行了几个月的积极开发:自1.8.0版以来,已提交了约70个补丁,代表许
【Spark Streaming】日志收集框架Flume的学习
我就是我的博客
01-17 476
Spark版本升级 日志收集框架Flume 概览 Apache Flume是一个分布式,可靠且可用的系统,用于有效地收集,聚合大量日志数据并将其从许多不同的源移动到集中式数据存储中。Apache Flume的使用不仅限于日志数据聚合。由于数据源是可定制的,因此Flume可用于传输大量事件数据,包括但不限于网络流量数据,社交媒体生成的数据,电子邮件消息以及几乎所有可能的数据源。 数据流模型 Flum...
flume监控实战3-spoolingDirsource监控文件目录
qq_43662627的博客
10-12 421
spoolingDirsource是安全的,不会丢失数据,但采集文件时不可以被修改,且文件不能重名 #a1是agent的名称,a1中定义了一个叫r1的source,如果有多个,使用空格间隔 a1.sources = r1 a1.sinks = k1 a1.channels = c1 #组名名.属性名=属性值 a1.sources.r1.type=spooldir a1.sources.r1.spoolDir=/root/flume #定义chanel a1.channels.c1.type=memory
ElasticSearch笔记
codertl
08-05 427
Lucene 和 ElasticSearch 关系:ElasticSearch 是基于 Lucene 做了一些封装和增强。 ElasticSearch 概述 ElasticSearch,简称为eses是一个开源的 高扩展 的 分布式全文检索引擎,它可以近乎 实时的存储、检索数据;本身扩展性很好,可以扩展到上百台服务器,处理PB级别(大数据时代)的数据。es也使用java并发使用 ...
最全Flume、ElasticSearch、Kibana实现日志实时展示
夜阑听风
03-20 7646
今天一天的时间,成功使用flume把日志扇入ElasticSearch中,并运行Kibana实现日志的初步展示,记录于此。1:ES集群的搭建不予赘述,可参考:如何搭建ES集群2:FlumeES协同这一部分堪称是重中之重,主要的时间就是花费在这上面了。flume的sink里,其实是有ElasticSearchSink的,我的打算,也是想直接使用其实现功能即可,后发现,ES使用的版本过高,但又不想照...
flume自定义sink写入es
lvhong1234的博客
07-21 1046
flume elasticsearch sink
flume+es+kibana日志系统
最新发布
m0_54883970的博客
09-02 1490
为了项目做日志监控,日至查询分析目前SIT IP监控ES存储健康(相当于NOSQL数据库)监控ES集群性能日志查看页面。
flume采集数据导入elasticsearch 配置
热门推荐
u012085379的专栏
02-25 1万+
Flume往elasticsearch转发数据的详细配置。
Flume1.8安装部署
04-23
本文将重点介绍Flume1.8的安装部署,包括下载地址、安装环境工具下载地址、单个Flume安装、多个Flume安装及HA、应用场景以及Flume-Ng组件概述。 首先,为了安装Flume1.8,我们需要进行一些准备工作。我们可以从...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值