2. 程式人生 > >實時日誌收集-查詢-分析系統(Flume+ElasticSearch+Kibana)

實時日誌收集-查詢-分析系統(Flume+ElasticSearch+Kibana)

阿新 發佈:2019-01-09

設計方案:Flume(日誌收集) + ElasticSearch(日誌查詢)+ Kibana(日誌分析與展示)

實驗使用場景:通過ambari部署集群后,可以新增自己的日誌系統,記錄每個元件的產生的日誌,實時的查詢分析。

一、Flume概述

Apache Flume is a distributed, reliable, and available system for efficiently collecting, aggregating and moving large amounts of log data from many different sources to a centralized data store.

The use of Apache Flume is not only restricted to log data aggregation. Since data sources are customizable, Flume can be used to transport massive quantities of event data including but not limited to network traffic data, social-media-generated data, email messages and pretty much any data source possible.

二、Flume架構

每一個Flume agent包含三種類型的元件:source(從資料來源獲取生成event data),channel(接收source給put來的event data),sink(從channel取走event data)

注意上面寫的是一個flume agent包含三種而不是三個

flume-arch

解釋下什麼是event data?

官方解釋:A Flume event is defined as a unit of data flow having a byte payload and an optional set of string attributes.

簡單理解:flume event data = headers + body,其中body的型別是byte[],headers的型別是Map<String,String>,event代表著一個數據流的最小完整單元,如果是source是從文字檔案中讀資料,那event的body通常就是每行的內容,headers可以自行新增。

三、Flume需要理解的內容

  1. 如何配好一個最簡單的flume.conf,使得flume agent正常工作;

  2. Flume的flow的種類和適用場景;

  3. Flume的官方提供的sources,channels,sinks,如提供的不滿足需求,可自定義適用於自己場景的source、channel和sink;

四、ElasticSearch概述

Elasticsearch是一個基於Apache Lucene(TM)的開源的、實時的、分散式的、全文儲存、搜尋、分析引擎。

Lucene使用起來非常複雜,ES(ElasticSearch)可以看成對其進行了封裝,提供了豐富的REST API,上手非常容易。

五、ElasticSearch的資料模型的簡單理解

在Elasticsearch中,有幾個概念(關鍵詞),有別於我們使用的關係型資料庫中的概念,注意類比:

Relational DB   -> Databases        -> Tables -> Rows       -> Columns
Elasticsearch   -> Indices(Index)   -> Types  -> Documents  -> Fields

Elasticsearch叢集可以包含多個索引(indices)(資料庫),每一個索引可以包含多個型別(types)(表),每一個型別包含多個文件(documents)(行),然後每個文件包含多個欄位(Fields)(列)。

如何定位es中的一個文件(Document)?

通過Index(索引: 文件儲存的地方) + Type(型別:文件代表的物件的類)+ Document_ID(唯一標識:文件的唯一標識),在ES內部的元資料表示為:_index + _type + _id。

六、Kibana概述

可以看成是ES的一個外掛,提供的功能:

  1. Flexible analytics and visualization platform

  2. Real-time summary and charting of streaming data

  3. Intuitive interface for a variety of users

  4. Instant sharing and embedding of dashboards

七、系統實現

環境:

1)JDK版本:java -version
java version "1.7.0_75"
OpenJDK Runtime Environment (rhel-2.5.4.0.el6_6-x86_64 u75-b13)
OpenJDK 64-Bit Server VM (build 24.75-b04, mixed mode)
(2)Flume1.6.03)ElasticSearch1.7.5

注意:我這裡實驗顯示Flume1.6.0不能導資料到ES2.2.0

log-arch

Flume使用的conf,可以簡單的設定如下:

agent.sources = yarnSrc hbaseSrc
agent.channels = memoryChannel
agent.sinks = elasticsearch

# source1:hdfsSrc
agent.sources.hdfsSrc.type = exec
agent.sources.hdfsSrc.command = tail -F /var/log/tbds/hdfs/hdfs/hadoop-hdfs-datanode-10.151.139.111.log
agent.sources.hdfsSrc.channels = memoryChannel

# source2:yarnSrc
agent.sources.yarnSrc.type = exec
agent.sources.yarnSrc.command = tail -F /var/log/tbds/yarn/yarn/yarn-yarn-nodemanager-10.151.139.111.log
agent.sources.yarnSrc.channels = memoryChannel

# source3:hbaseSrc
agent.sources.hbaseSrc.type = exec
agent.sources.hbaseSrc.command = tail -F /var/log/tbds/hbase/hbase-hbase-regionserver-10.151.139.111.log
agent.sources.hbaseSrc.channels = memoryChannel

# sink1:localSink
agent.sinks.localSink.type = file_roll
agent.sinks.localSink.sink.directory = /var/log/flume
agent.sinks.localSink.sink.rollInterval = 0
agent.sinks.localSink.channel = memoryChannel

# sink2:esSink
agent.sinks.elasticsearch.channel = memoryChannel
agent.sinks.elasticsearch.type = org.apache.flume.sink.elasticsearch.ElasticSearchSink
agent.sinks.elasticsearch.hostNames = 10.151.139.111:9300

agent.sinks.elasticsearch.indexName = basis_log_info
agent.sinks.elasticsearch.batchSize = 100
agent.sinks.elasticsearch.indexType = logs
agent.sinks.elasticsearch.clusterName = my-test-es-cluster
agent.sinks.elasticsearch.serializer = org.apache.flume.sink.elasticsearch.ElasticSearchLogStashEventSerializer

# channel1
agent.channels.memoryChannel.type = memory
agent.channels.memoryChannel.capacity = 100

注意要在flume/lib下加入兩個包:
lucene-core-4.10.4.jar
elasticsearch-1.7.5.jar

The elasticsearch and lucene-core jars required for your environment must be placed in the lib directory of the Apache Flume installation.

之後分別執行elasticsearch和flume即可。

八、系統改進

  1. 配置flume interceptor加入各類headers,重寫ElasticSearchLogStashEventSerializer使得event的header部分可以作為es的文件的field

  2. memory channel與file channel的結合,參見美團日誌系統的改進

  3. 日誌若是錯誤資訊,並不是每一行都是作為es的一個文件,而是若干行的內容才是es的一個文件的message

九、系統實現效果

匯入es的文件資料結構:

es-data-structure

Kibana展示:

kibana-result

References:

相關推薦

實時日誌收集-查詢-分析系統(Flume+ElasticSearch+Kibana)

設計方案:Flume(日誌收集) + ElasticSearch(日誌查詢)+ Kibana(日誌分析與展示) 實驗使用場景:通過ambari部署集群后,可以新增自己的日誌系統,記錄每個元件的產生的日誌,實時的查詢分析。 一、Flume概述 Apache

基於Flume+kafka打造實時日誌收集分析系統

Kafka broker修改conf/server.properties檔案,修改內容如下:           broker.id=1           host.name=172.16.137.196 port=10985           log.dirs=/data/kafka

Kibana和logstash快速搭建實時日誌查詢收集分析系統

  Logstash是一個完全開源的工具,他可以對你的日誌進行收集、分析,並將其儲存供以後使用(如,搜尋),您可以使用它。說到搜尋,logstash帶有一個web介面,搜尋和展示所有日誌。 kibana 也是一個開源和免費的工具,他可以幫助您彙總、分析和搜尋重要資料日誌並提供友好的web介面。他可以為 L

nginx+flume+hdfs搭建實時日誌收集系統

1、配置nginx.conf,新增以下配置 http { #配置日誌格式 log_format lf '$remote_addr^A$msec^A$http_host^A$reques

Elk日誌採集分析系統 搭建elasticsearch環境 6.4 環境

https://www.elastic.co/cn/blog/elasticsearch-6-4-0-released 1 官網下載 elasticsearch 安裝包 https://artifacts.elastic.co/downloads/elasticsearch/elasti

大資料實時日誌收集框架Flume案例之抽取日誌檔案到HDFS

上節介紹了Flume的作用以及如何使用,本文主要通過一個簡單的案例來更好地運用Flume框架。在實際開發中,我們有時需要實時抽取一些資料夾下的檔案來分析,比如今天的日誌檔案需要抽取出來做分析。這時,如何自動實時的抽取每天的日誌檔案呢?我們可以使用Flume來完成

elasticsearch+kafka日誌收集分析以及分散式配置(附)

<span style="font-family: Arial, Helvetica, sans-serif; background-color: rgb(255, 255, 255);">由於公司內部業務需求,需要將大量的請求日誌做統計分析,所以用到了elas

2018年ElasticSearch6.2.2教程ELK搭建日誌采集分析系統(目錄)

1.2 安裝包 接口 語句 參數配置 介紹 ofo 計劃 裝包 章節一 2018年 ELK課程計劃和效果演示 1、課程安排和效果演示 簡介:課程介紹和主要知識點說明,ES搜索接口演示,部署的ELK項目演示 章節二 elasticSearch 6.2版本基礎講

2018年ElasticSearch6.2.2教程ELK搭建日誌采集分析系統(教程詳情)

domain 服務器日誌 環境 解決 對比 修改 tst 阿裏雲服務 們的 章節一 2018年 ELK課程計劃和效果演示1、課程安排和效果演示簡介:課程介紹和主要知識點說明,ES搜索接口演示,部署的ELK項目演示es: localhost:9200kibana http:

網站流量日誌數據分析系統

當前 目標 新聞 問題 投資回報 sha 觀察 路徑分析 搜索 1. 點擊流數據模型1.1. 點擊流概念點擊流(Click Stream)是指用戶在網站上持續訪問的軌跡。這個概念更註重用戶瀏覽網站的整個流程。用戶對網站的每次訪問包含了一系列的點擊動作行為,這些點擊行為數據就

支付寶客戶端架構分析:自動化日誌收集分析

前言 《支付寶客戶端架構解析》系列將從支付寶客戶端的架構設計方案入手,細分拆解客戶端在“容器化框架設計”、“網路優化”、“效能啟動優化”、“自動化日誌收集”、“RPC 元件設計”、“移動應用監控、診斷、定位”等具體實現,帶領大家進一步瞭解支付寶在客戶端架構上的迭代與優化歷程。 本節將結合禾兮

iOS錯誤日誌收集分析

錯誤日誌收集     很多APP統計分析SDK都集成了崩潰日誌收集功能,如“百度移動統計SDK”。但由於各種原因,這些有時候並不能滿足我們的需求,比如我還想知道使用者在什麼網路狀態下崩潰,什麼位置崩潰,什麼時間崩潰,崩潰前都請求了哪些介面(這個需要跟

iOS 崩潰日誌收集分析

最近幾天,專案中在增加推送功能,選用的極光推送SDK,相信大家也都用過,官方文件的整合步驟很詳細,整合也很容易。但是這跟今天的主題有什麼關係呢??? 黑人問號???別急,下面就來說說我今天的遭遇。坑~~~ 話說,由於iOS10之後,蘋果對推送進行了重大更新,主要是新增了 U

自動化日誌收集分析在支付寶 App 內的演進

摘要: 作者:曲仁軍(驍然),螞蟻金服技術專家。本文將聚焦支付寶在移動端如何構建日誌自動化採集和分析能力,從而通過“資料

微服務下,使用ELK做日誌收集分析

一、使用背景   目前專案中,採用的是微服務框架,對於日誌,採用的是logback的配置,每個微服務的日誌,都是通過File的方式儲存在部署的機器上,但是由於日誌比較分散,想要檢查各個微服務是否有報錯資訊,需要挨個服務去排查,比較麻煩。所以希望通過對日誌進行聚合,然後通過監控,能夠快速的找到各個微服務的報錯資

JVM探祕:GC日誌收集分析

本系列筆記主要基於《深入理解Java虛擬機器:JVM高階特性與最佳實踐 第2版》,是這本書的讀書筆記。 收集GC日誌 不同的垃圾收集器,輸出的日誌格式各不相同,但也有一些相同的特徵。熟悉各個常用垃圾收集器的GC日誌,是進行JVM調優的必備一步。 解析GC日誌,首先需要收集日誌,常用的有以下JVM引數用來列

微服務架構日誌集中化 安裝 EFK (Fluentd ElasticSearch Kibana) 採集nginx日誌

首先在nginx伺服器上執行以下操作. 安裝ruby http://blog.csdn.net/chenhaifeng2016/article/details/78678680 安裝Fluentd curl -L https://toolbelt.treasuredat

ubuntu 系統 安裝 elasticsearch + kibana + anaconda

下載 deb版本安裝檔案, 下載完成,直接開啟雙擊執行一直確認即可。 Java是apt 安裝的,版本1.8.0_181,elasticsearch 和 kibana 版本都是6.4.0, 虛擬機器記憶體 4g anaconda 從清華大學映象站下載(下載後直接執行一直

基於Kafka和ElasticSearch,LinkedIn如何構建實時日誌分析系統

今天,和跟大家分享我們在用ElasticSearch和Kafka做日誌分析的時候遇到的問題,系統怎麼樣一步一步演變成現在這個版本。你如果想拿ElasticSearch和Kafka來做日誌分析的話,會有一些啟發。全文主要包括以下幾個Topic:   日誌分析系統的基本需求; Li

logstash+elasticsearch+kibana搭建日誌收集分析系統

input { file { type => "api_log" path => "/home/jws/app/nginxserver/logs/apiaccess.log" debug