Flume 简介
Flume 作为 cloudera 开发的实时日志收集系统,受到了业界的认可与广泛应用。Flume 初始的发行版本目前被统称为 Flume OG(original generation),属于 cloudera。但随着 FLume 功能的扩展,Flume OG 代码工程臃肿、核心组件设计不合理、核心配置不标准等缺点暴露出来,尤其是在 Flume OG 的最后一个发行版本 0.94.0 中,日志传输不稳定的现象尤为严重,为了解决这些问题,2011 年 10 月 22 号,cloudera 完成了 Flume-728,对 Flume 进行了里程碑式的改动:重构核心组件、核心配置以及代码架构,重构后的版本统称为 Flume NG(next generation);改动的另一原因是将 Flume 纳入 apache 旗下,cloudera Flume 改名为 Apache Flume。IBM 的这篇文章:《Flume NG:Flume 发展史上的第一次革命》,从基本组件以及用户体验的角度阐述 Flume OG 到 Flume NG 发生的革命性变化。本文就不再赘述各种细枝末节了,不过这里还是简要提下 Flume NG (1.x.x)的主要变化:
注:本文所使用的 Flume 版本为 flume-1.4.0-cdh4.7.0,不需要额外的安装过程,解压缩即可用。
组件 | 功能 |
---|---|
Agent | 使用JVM 运行Flume。每台机器运行一个agent,但是可以在一个agent中包含多个sources和sinks。 |
Client | 生产数据,运行在一个独立的线程。 |
Source | 从Client收集数据,传递给Channel。 |
Sink | 从Channel收集数据,运行在一个独立线程。 |
Channel | 连接 sources 和 sinks ,这个有点像一个队列。 |
Events | 可以是日志记录、 avro 对象等。 |
Flume(水道)以agent为最小的独立运行单位。一个agent就是一个JVM。单agent由Source、Sink和Channel三大组件构成,如下图:
图一
Flume的数据流由事件(Event)贯穿始终。事件是Flume的基本数据单位,它携带日志数据(字节数组形式)并且携带有头信息,这些Event由Agent外部的Source,比如上图中的Web Server生成。当Source捕获事件后会进行特定的格式化,然后Source会把事件推入(单个或多个)Channel中。你可以把Channel看作是一个缓冲区,它将保存事件直到Sink处理完该事件。Sink负责持久化日志或者把事件推向另一个Source。
很直白的设计,其中值得注意的是,Flume提供了大量内置的Source、Channel和Sink类型。不同类型的Source,Channel和Sink可以自由组合。组合方式基于用户设置的配置文件,非常灵活。比如:Channel可以把事件暂存在内存里,也可以持久化到本地硬盘上。Sink可以把日志写入HDFS,Hbase,甚至是另外一个Source等等。
如果你以为Flume就这些能耐那就大错特错了。Flume支持用户建立多级流,也就是说,多个agent可以协同工作,并且支持Fan-in、Fan-out、Contextual Routing、Backup Routes。如下图所示:
Flume架构整体上看就是 source-->channel-->sink 的三层架构(参见最上面的 图一),类似生成者和消费者的架构,他们之间通过queue(channel)传输,解耦。
Source:完成对日志数据的收集,分成 transtion 和 event 打入到channel之中。
Channel:主要提供一个队列的功能,对source提供中的数据进行简单的缓存。
Sink:取出Channel中的数据,进行相应的存储文件系统,数据库,或者提交到远程服务器。
对现有程序改动最小的使用方式是使用是直接读取程序原来记录的日志文件,基本可以实现无缝接入,不需要对现有程序进行任何改动。
对于直接读取文件Source, 主要有两种方式:
Sink在设置存储数据时,可以向文件系统中,数据库中,Hadoop中储数据,在日志数据较少时,可以将数据存储在文件系中,并且设定一定的时间间隔保存数据。在日志数据较多时,可以将相应的日志数据存储到Hadoop中,便于日后进行相应的数据分析。
安装
flume的官方网站在哪里?
http://flume.apache.org/
在哪里下载?
http://www.apache.org/dyn/closer.cgi/flume/1.5.0/apache-flume-1.5.0-bin.tar.gz
1)将下载的flume包,解压到/home/hadoop目录中
2)修改 flume-env.sh 配置文件,主要是JAVA_HOME变量设置
|
# example.conf: A single-node Flume configuration(配置)
# Name the components(成分) on this agent
a1.sources = r1
a1.sinks = k1
a1.channels = c1
# Describe/configure(安装) the source
a1.sources.r1.
type
= netcat
a1.sources.r1.bind(结合) = localhost(本地主机)
a1.sources.r1.port = 44444
# Describe the sink
a1.sinks.k1.
type
= logger
# Use a channel which buffers(有软皮摩擦) events in memory
a1.channels.c1.
type
= memory
a1.channels.c1.capacity(能力) = 1000
a1.channels.c1.transactionCapacity = 100
# Bind the source and sink to the channel
a1.sources.r1.channels = c1
a1.sinks.k1.channel = c1
|
然后我们就可以启动 Flume 了:
1
|
bin
/flume-ng
agent --conf conf --conf-
file
example.conf --name a1 -Dflume.root.logger=INFO,console(控制台)
|
PS:-Dflume.root.logger=INFO,console 仅为 debug(调试) 使用,请勿生产环境生搬硬套,否则大量的日志会返回到终端。。。
-c/--conf 后跟配置目录,-f/--conf-file 后跟具体的配置文件,-n/--name 指定agent的名称
|
$ telnet localhost(本地主机) 44444
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is
'^]'
.
Hello world!
OK
|
1
2
3
|
12
/06/19
15:32:19 INFO
source
.NetcatSource: Source starting
12
/06/19
15:32:19 INFO
source
.NetcatSource: Created serverSocket:sun.nio.ch.ServerSocketChannelImpl[
/127
.0.0.1:44444]
12
/06/19
15:32:34 INFO sink.LoggerSink: Event: { headers:{} body: 48 65 6C 6C 6F 20 77 6F 72 6C 64 21 0D Hello world!. }
|
|
# Define(定义) a memory channel called ch1 on agent1
agent1.channels.ch1.
type
= memory
agent1.channels.ch1.capacity(能力) = 100000
agent1.channels.ch1.transactionCapacity = 100000
agent1.channels.ch1.keep-alive = 30
# Define(定义) an Avro source called avro-source1 on agent1 and tell it
# to bind(结合) to 0.0.0.0:41414. Connect it to channel ch1.
#agent1.sources.avro-source1.channels = ch1
#agent1.sources.avro-source1.type = avro
#agent1.sources.avro-source1.bind = 0.0.0.0
#agent1.sources.avro-source1.port = 41414
#agent1.sources.avro-source1.threads = 5
#define source monitor a file
agent1.sources.avro-source1.
type
=
exec
agent1.sources.avro-source1.shell(壳) =
/bin/bash
-c
agent1.sources.avro-source1.
command
=
tail
-n +0 -F
/home/storm/tmp/id
.txt
agent1.sources.avro-source1.channels = ch1
agent1.sources.avro-source1.threads = 5
# Define(定义) a logger sink that simply logs all events it receives
# and connect it to the other end of the same channel.
agent1.sinks.log-sink1.channel = ch1
agent1.sinks.log-sink1.
type
= hdfs
agent1.sinks.log-sink1.hdfs.path = hdfs:
//192
.168.1.111:8020
/flumeTest
agent1.sinks.log-sink1.hdfs.writeFormat = Text
agent1.sinks.log-sink1.hdfs.fileType = DataStream
agent1.sinks.log-sink1.hdfs.rollInterval = 0
agent1.sinks.log-sink1.hdfs.rollSize = 1000000
agent1.sinks.log-sink1.hdfs.rollCount = 0
agent1.sinks.log-sink1.hdfs.batchSize = 1000
agent1.sinks.log-sink1.hdfs.txnEventMax = 1000
agent1.sinks.log-sink1.hdfs.callTimeout = 60000
agent1.sinks.log-sink1.hdfs.appendTimeout = 60000
# Finally, now that we've defined(定义) all of our components(成分), tell
# agent1 which ones we want to activate(刺激).
agent1.channels = ch1
agent1.sources = avro-source1
agent1.sinks = log-sink1
|
../bin/flume-ng agent --conf ../conf/ -f flume(水道)_directHDFS.conf -n agent1 -Dflume.root.logger=INFO,console(控制台)
PS:实际环境中有这样的需求,通过在多个agent端tail日志,发送给collector(收藏家),collector再把数据收集,统一发送给HDFS存储起来,当HDFS文件大小超过一定的大小或者超过在规定的时间间隔会生成一个文件。
Flume 实现了两个Trigger,分别为SizeTriger(在调用HDFS输出流写的同时,count该流已经写入的大小总和,若超过一定大小,则创建新的文件和输出流,写入操作指向新的输出流,同时close以前的输出流)和TimeTriger(开启定时器,当到达该点时,自动创建新的文件和输出流,新的写入重定向到该流中,同时close以前的输出流)。
|
# clientMainAgent
clientMainAgent.channels = c1
clientMainAgent.sources = s1
clientMainAgent.sinks = k1 k2
# clientMainAgent sinks group
clientMainAgent.sinkgroups = g1
# clientMainAgent Spooling Directory Source
clientMainAgent.sources.s1.
type
= spooldir
clientMainAgent.sources.s1.spoolDir =
/dsap/rawdata/
clientMainAgent.sources.s1.fileHeader =
true
clientMainAgent.sources.s1.deletePolicy =immediate
clientMainAgent.sources.s1.batchSize =1000
clientMainAgent.sources.s1.channels =c1
clientMainAgent.sources.s1.deserializer(并行化).maxLineLength =1048576
# clientMainAgent FileChannel
clientMainAgent.channels.c1.
type
=
file
clientMainAgent.channels.c1.checkpointDir =
/var/flume(水道)/fchannel/spool(缠绕)/checkpoint(检查站)
clientMainAgent.channels.c1.dataDirs =
/var/flume/fchannel/spool/data
clientMainAgent.channels.c1.capacity(能力) = 200000000
clientMainAgent.channels.c1.keep-alive = 30
clientMainAgent.channels.c1.write-timeout = 30
clientMainAgent.channels.c1.checkpoint-timeout=600
# clientMainAgent Sinks
# k1 sink
clientMainAgent.sinks.k1.channel = c1
clientMainAgent.sinks.k1.
type
= avro
# connect to CollectorMainAgent
clientMainAgent.sinks.k1.
hostname
= flume115
clientMainAgent.sinks.k1.port = 41415
# k2 sink
clientMainAgent.sinks.k2.channel = c1
clientMainAgent.sinks.k2.
type
= avro
# connect to CollectorBackupAgent
clientMainAgent.sinks.k2.
hostname
= flume116
clientMainAgent.sinks.k2.port = 41415
# clientMainAgent sinks group
clientMainAgent.sinkgroups.g1.sinks = k1 k2
# load_balance type
clientMainAgent.sinkgroups.g1.processor(处理器).
type
= load_balance
clientMainAgent.sinkgroups.g1.processor.backoff(铲背) =
true
clientMainAgent.sinkgroups.g1.processor(处理器).selector(选择器) = random(随机的)
|
../bin/flume-ng agent --conf ../conf/ -f flume(水道)_Consolidation.conf -n clientMainAgent -Dflume.root.logger=DEBUG,console(控制台)
|
# collectorMainAgent
collectorMainAgent.channels = c2
collectorMainAgent.sources = s2
collectorMainAgent.sinks =k1 k2
# collectorMainAgent AvroSource
#
collectorMainAgent.sources.s2.
type
= avro
collectorMainAgent.sources.s2.bind(结合) = flume(水道)115
collectorMainAgent.sources.s2.port = 41415
collectorMainAgent.sources.s2.channels = c2
# collectorMainAgent FileChannel
#
collectorMainAgent.channels.c2.
type
=
file
collectorMainAgent.channels.c2.checkpointDir =
/opt/var/flume/fchannel/spool(缠绕)/checkpoint(检查站)
collectorMainAgent.channels.c2.dataDirs =
/opt/var/flume/fchannel/spool/data
,
/work/flume/fchannel/spool/data
collectorMainAgent.channels.c2.capacity(能力) = 200000000
collectorMainAgent.channels.c2.transactionCapacity=6000
collectorMainAgent.channels.c2.checkpointInterval=60000
# collectorMainAgent hdfsSink
collectorMainAgent.sinks.k2.
type
= hdfs
collectorMainAgent.sinks.k2.channel = c2
collectorMainAgent.sinks.k2.hdfs.path = hdfs:
//db-cdh-cluster/flume
%{
dir
}
collectorMainAgent.sinks.k2.hdfs.filePrefix =k2_%{
file
}
collectorMainAgent.sinks.k2.hdfs.inUsePrefix =_
collectorMainAgent.sinks.k2.hdfs.inUseSuffix =.tmp
collectorMainAgent.sinks.k2.hdfs.rollSize = 0
collectorMainAgent.sinks.k2.hdfs.rollCount = 0
collectorMainAgent.sinks.k2.hdfs.rollInterval = 240
collectorMainAgent.sinks.k2.hdfs.writeFormat = Text
collectorMainAgent.sinks.k2.hdfs.fileType = DataStream
collectorMainAgent.sinks.k2.hdfs.batchSize = 6000
collectorMainAgent.sinks.k2.hdfs.callTimeout = 60000
collectorMainAgent.sinks.k1.
type
= hdfs
collectorMainAgent.sinks.k1.channel = c2
collectorMainAgent.sinks.k1.hdfs.path = hdfs:
//db-cdh-cluster/flume
%{
dir
}
collectorMainAgent.sinks.k1.hdfs.filePrefix =k1_%{
file
}
collectorMainAgent.sinks.k1.hdfs.inUsePrefix =_
collectorMainAgent.sinks.k1.hdfs.inUseSuffix =.tmp
collectorMainAgent.sinks.k1.hdfs.rollSize = 0
collectorMainAgent.sinks.k1.hdfs.rollCount = 0
collectorMainAgent.sinks.k1.hdfs.rollInterval = 240
collectorMainAgent.sinks.k1.hdfs.writeFormat = Text
collectorMainAgent.sinks.k1.hdfs.fileType = DataStream
collectorMainAgent.sinks.k1.hdfs.batchSize = 6000
collectorMainAgent.sinks.k1.hdfs.callTimeout = 60000
|
../bin/flume-ng agent --conf ../conf/ -f flume(水道)_Consolidation.conf -n collectorMainAgent -Dflume.root.logger=DEBUG,console(控制台)
|
flume 报错:
java.lang.OutOfMemoryError: GC overhead limit exceeded(超过)
或者:
java.lang.OutOfMemoryError: Java heap space
Exception
in
thread
"SinkRunner-PollingRunner-DefaultSinkProcessor"
java.lang.OutOfMemoryError: Java heap space
|
Flume(水道) 启动时的最大堆内存大小默认是 20M,线上环境很容易 OOM,因此需要你在 flume-env.sh 中添加 JVM 启动参数:
1
|
JAVA_OPTS=
"-Xms8192m -Xmx8192m -Xss256k -Xmn2g -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -XX:-UseGCOverheadLimit"
|
然后在启动 agent 的时候一定要带上 -c conf 选项,否则 flume-env.sh 里配置的环境变量不会被加载生效。
具体参见:
http://stackoverflow.com/questions/1393486/error-java-lang-outofmemoryerror-gc-overhead-limit-exceeded
http://marc.info/?l=flume-user&m=138933303305433&w=2
1
2
3
4
5
6
7
|
2014
-
07
-
07
14
:
44
:
17
,
902
(agent-shutdown-hook) [WARN - org.apache.flume(水道).sink.hdfs.HDFSEventSink.stop(HDFSEventSink.java:
504
)] Exception
while
closing hdfs:
//192.168.1.111:8020/flumeTest/FlumeData. Exception(例外) follows.
java.lang.UnsupportedOperationException: This is supposed to be overridden(蹂躏) by subclasses(亚纲).
at com.google.protobuf.GeneratedMessage.getUnknownFields(GeneratedMessage.java:
180
)
at org.apache.hadoop.hdfs.protocol(协议).proto(原型).ClientNamenodeProtocolProtos$GetFileInfoRequestProto.getSerializedSize(ClientNamenodeProtocolProtos.java:
30108
)
at com.google.protobuf.AbstractMessageLite.toByteString(AbstractMessageLite.java:
49
)
at org.apache.hadoop.ipc.ProtobufRpcEngine$Invoker(调用).constructRpcRequest(ProtobufRpcEngine.java:
149
)
at org.apache.hadoop.ipc.ProtobufRpcEngine$Invoker.invoke(ProtobufRpcEngine.java:
193
)
|
把你的 jdk7 换成 jdk6 试试。
其实上面 3.2 中已有说明,flume(水道) 的 sink 已经实现了几种最主要的持久化触发器:
比如按大小、按间隔时间、按消息条数等等,针对你的文件过小迟迟没法写入 HDFS 持久化的问题,
那是因为你此时还没有满足持久化的条件,比如你的行数还没有达到配置的阈值或者大小还没达到等等,
可以针对上面 3.2 小节的配置微调下,例如:
1
|
agent1.sinks.log-sink1.hdfs.rollInterval = 20
|
下面贴一些常见的持久化触发器:
1
2
3
4
5
6
7
8
9
10
11
12
13
|
# Number of seconds to wait before rolling current file (in 600 seconds)
agent.sinks.sink.hdfs.rollInterval=600
# File size to trigger(引发) roll, in bytes (256Mb)
agent.sinks.sink.hdfs.rollSize = 268435456
# never roll based on number of events
agent.sinks.sink.hdfs.rollCount = 0
# Timeout after which inactive(不活跃的) files get closed (in seconds)
agent.sinks.sink.hdfs.idleTimeout = 3600
agent.sinks.HDFS.hdfs.batchSize = 1000
|
http://stackoverflow.com/questions/20638498/flume-not-writing-to-hdfs-unless-killed
注意:对于 HDFS 来说应当竭力避免小文件问题,所以请慎重对待你配置的持久化触发机制。
Flume的HDFSsink在数据写入/读出Channel时,都有Transcation的保证。当Transaction失败时,会回滚,然后重试。但由于HDFS不可修改文件的内容,假设有1万行数据要写入HDFS,而在写入5000行时,网络出现问题导致写入失败,Transaction回滚,然后重写这10000条记录成功,就会导致第一次写入的5000行重复。这些问题是 HDFS 文件系统设计上的特性缺陷,并不能通过简单的Bugfix来解决。我们只能关闭批量写入,单条事务保证,或者启用监控策略,两端对数。
Memory和exec的方式可能会有数据丢失,file 是 end to end 的可靠性保证的,但是性能较前两者要差。
end to end、store on failure 方式 ACK 确认时间设置过短(特别是高峰时间)也有可能引发数据的重复写入。
可以在 tail 传的时候记录行号,下次再传的时候,取上次记录的位置开始传输,类似:
1
|
agent1.sources.avro-source1.
command
=
/usr/local/bin/tail
-n +$(
tail
-n1
/home/storm/tmp/n
) --max-unchanged-stats=600 -F
/home/storm/tmp/id
.txt |
awk
'ARNGIND==1{i=$0;next}{i++; if($0~/文件已截断/)i=0; print i >> "/home/storm/tmp/n";print $1"---"i}'
/home/storm/tmp/n
-
|
(1)文件被 rotation(旋转) 的时候,需要同步更新你的断点记录“指针”,
(2)需要按文件名来追踪文件,
(3)flume 挂掉后需要累加断点续传“指针”
(4)flume(水道) 挂掉后,如果恰好文件被 rotation,那么会有丢数据的风险,
只能监控尽快拉起或者加逻辑判断文件大小重置指针。
(5)tail 注意你的版本,请更新 coreutils 包到最新。
这里你需要利用 Flume 提供的拦截器(Interceptor(拦截机))机制来满足上述的需求了,具体请参考下面几个链接:
(1)Flume-NG源码阅读之Interceptor(原创)
http://www.cnblogs.com/lxf20061900/p/3664602.html
(2)Flume-NG自定义拦截器
http://sep10.com/posts/2014/04/15/flume-interceptor/
(3)Flume-ng生产环境实践(四)实现log格式化interceptor
http://blog.csdn.net/rjhym/article/details/8450728
(4)flume-ng如何根据源文件名输出到HDFS文件名
http://abloz.com/2013/02/19/flume-ng-output-according-to-the-source-file-name-to-the-hdfs-file-name.html
(1)scribe(抄写员)、chukwa、kafka、flume日志系统对比
http://www.ttlsa.com/log-system/scribe-chukwa-kafka-flume-log-system-contrast/
(2)关于Flume-ng那些事 http://www.ttlsa.com/?s=flume
关于Flume-ng那些事(三):常见架构测试 http://www.ttlsa.com/log-system/about-flume-ng-3/
(3)Flume(水道) 1.4.0 User Guide
http://archive.cloudera.com/cdh4/cdh/4/flume-ng-1.4.0-cdh4.7.0/FlumeUserGuide.html
(4)flume日志采集 http://blog.csdn.net/sunmeng_007/article/details/9762507
(5)Flume-NG + HDFS + Hive 日志收集分析
http://eyelublog.wordpress.com/2013/01/13/flume-ng-hdfs-hive-%E6%97%A5%E5%BF%97%E6%94%B6%E9%9B%86%E5%88%86%E6%9E%90/
(6)【Twitter Storm系列】flume-ng+Kafka+Storm+HDFS 实时系统搭建
http://blog.csdn.net/weijonathan/article/details/18301321
(7)Flume-NG + HDFS + PIG 日志收集分析
http://hi.baidu.com/life_to_you/item/a98e2ec3367486dbef183b5e
flume 示例一收集tomcat日志 http://my.oschina.net/88sys/blog/71529
flume-ng 多节点集群示例 http://my.oschina.net/u/1401580/blog/204052
试用flume-ng 1.1 http://heipark.iteye.com/blog/1617995
(8)Flafka: Apache Flume Meets Apache Kafka for Event Processing
http://blog.cloudera.com/blog/2014/11/flafka-apache-flume-meets-apache-kafka-for-event-processing/
(9)Flume-ng的原理和使用
http://segmentfault.com/blog/javachen/1190000002532284
(10)基于Flume的美团日志收集系统(一)架构和设计
http://tech.meituan.com/mt-log-system-arch.html
(11)基于Flume的美团日志收集系统(二)改进和优化
http://tech.meituan.com/mt-log-system-optimization.html
(12)How-to: Do Real-Time Log Analytics(分析学) with Apache Kafka, Cloudera Search, and Hue
http://blog.cloudera.com/blog/2015/02/how-to-do-real-time-log-analytics-with-apache-kafka-cloudera-search-and-hue/
(13)Real-time analytics in Apache Flume - Part 1
http://jameskinley.tumblr.com/post/57704266739/real-time-analytics-in-apache-flume-part-1