Flume架構以及應用介紹[轉]

在具體介紹本文內容之前，先給大家看一下Hadoop業務的整體開發流程： 

從Hadoop的業務開發流程圖中可以看出，在大資料的業務處理過程中，對於資料的採集是十分重要的一步，也是不可避免的一步，從而引出我們本文的主角—Flume。本文將圍繞Flume的架構、Flume的應用(日誌採集)進行詳細的介紹。 
（一）Flume架構介紹 
1、Flume的概念 
 
flume是分散式的日誌收集系統，它將各個伺服器中的資料收集起來並送到指定的地方去，比如說送到圖中的HDFS，簡單來說flume就是收集日誌的。 
2、Event的概念 
在這裡有必要先介紹一下flume中event的相關概念：flume的核心是把資料從資料來源(source)收集過來，在將收集到的資料送到指定的目的地(sink)。為了保證輸送的過程一定成功，在送到目的地(sink)之前，會先快取資料(channel),待資料真正到達目的地(sink)後，flume在刪除自己快取的資料。 
在整個資料的傳輸的過程中，流動的是event，即事務保證是在event級別進行的。那麼什麼是event呢？—–event將傳輸的資料進行封裝，是flume傳輸資料的基本單位，如果是文字檔案，通常是一行記錄，event也是事務的基本單位。event從source，流向channel，再到sink，本身為一個位元組陣列，並可攜帶headers(頭資訊)資訊。event代表著一個資料的最小完整單元，從外部資料來源來，向外部的目的地去。 
為了方便大家理解，給出一張event的資料流向圖： 
 
一個完整的event包括：event headers、event body、event資訊(即文字檔案中的單行記錄)，如下所以： 

其中event資訊就是flume收集到的日記記錄。 
3、flume架構介紹 
flume之所以這麼神奇，是源於它自身的一個設計，這個設計就是agent，agent本身是一個java程式，執行在日誌收集節點—所謂日誌收集節點就是伺服器節點。 
agent裡面包含3個核心的元件：source—->channel—–>sink,類似生產者、倉庫、消費者的架構。 
source：source元件是專門用來收集資料的，可以處理各種型別、各種格式的日誌資料,包括avro、thrift、exec、jms、spooling directory、netcat、sequence generator、syslog、http、legacy、自定義。 
channel：source元件把資料收集來以後，臨時存放在channel中，即channel元件在agent中是專門用來存放臨時資料的——對採集到的資料進行簡單的快取，可以存放在memory、jdbc、file等等。 
sink：sink元件是用於把資料傳送到目的地的元件，目的地包括hdfs、logger、avro、thrift、ipc、file、null、hbase、solr、自定義。 
4、flume的執行機制 
flume的核心就是一個agent，這個agent對外有兩個進行互動的地方，一個是接受資料的輸入——source，一個是資料的輸出sink，sink負責將資料傳送到外部指定的目的地。source接收到資料之後，將資料傳送給channel，chanel作為一個資料緩衝區會臨時存放這些資料，隨後sink會將channel中的資料傳送到指定的地方—-例如HDFS等，注意：只有在sink將channel中的資料成功傳送出去之後，channel才會將臨時資料進行刪除，這種機制保證了資料傳輸的可靠性與安全性。 
5、flume的廣義用法 
flume之所以這麼神奇—-其原因也在於flume可以支援多級flume的agent，即flume可以前後相繼，例如sink可以將資料寫到下一個agent的source中，這樣的話就可以連成串了，可以整體處理了。flume還支援扇入(fan-in)、扇出(fan-out)。所謂扇入就是source可以接受多個輸入，所謂扇出就是sink可以將資料輸出多個目的地destination中。 
 
（二）flume應用—日誌採集 
對於flume的原理其實很容易理解，我們更應該掌握flume的具體使用方法，flume提供了大量內建的Source、Channel和Sink型別。而且不同型別的Source、Channel和Sink可以自由組合—–組合方式基於使用者設定的配置檔案，非常靈活。比如：Channel可以把事件暫存在記憶體裡，也可以持久化到本地硬碟上。Sink可以把日誌寫入HDFS, HBase，甚至是另外一個Source等等。下面我將用具體的案例詳述flume的具體用法。 
其實flume的用法很簡單—-書寫一個配置檔案，在配置檔案當中描述source、channel與sink的具體實現，而後執行一個agent例項，在執行agent例項的過程中會讀取配置檔案的內容，這樣flume就會採集到資料。 
配置檔案的編寫原則： 
1>從整體上描述代理agent中sources、sinks、channels所涉及到的元件

    # Name the components on this agent
    a1.sources = r1
    a1.sinks = k1
    a1.channels = c1

2>詳細描述agent中每一個source、sink與channel的具體實現：即在描述source的時候，需要 

指定source到底是什麼型別的，即這個source是接受檔案的、還是接受http的、還是接受thrift 
的；對於sink也是同理，需要指定結果是輸出到HDFS中，還是Hbase中啊等等；對於channel 
需要指定是記憶體啊，還是資料庫啊，還是檔案啊等等。

    # Describe/configure the source
    a1.sources.r1.type = netcat
    a1.sources.r1.bind = localhost
    a1.sources.r1.port = 44444

    # Describe the sink
    a1.sinks.k1.type = logger

    # Use a channel which buffers events in memory
    a1.channels.c1.type = memory
    a1.channels.c1.capacity = 1000
    a1.channels.c1.transactionCapacity = 100

3>通過channel將source與sink連線起來

    # Bind the source and sink to the channel
    a1.sources.r1.channels = c1
    a1.sinks.k1.channel = c1

啟動agent的shell操作：

    flume-ng  agent -n a1  -c  ../conf   -f  ../conf/example.file  
    -Dflume.root.logger=DEBUG,console  

引數說明： -n 指定agent名稱(與配置檔案中代理的名字相同) 

-c 指定flume中配置檔案的目錄 
-f 指定配置檔案 
-Dflume.root.logger=DEBUG,console 設定日誌等級

具體案例： 
案例1： NetCat Source：監聽一個指定的網路埠，即只要應用程式向這個埠裡面寫資料，這個source元件就可以獲取到資訊。 其中 Sink：logger Channel：memory 
flume官網中NetCat Source描述：

Property Name Default     Description
channels       –     
type           –     The component type name, needs to be netcat
bind           –  日誌需要傳送到的主機名或者Ip地址，該主機執行著netcat型別的source在監聽          
port           –  日誌需要傳送到的埠號，該埠號要有netcat型別的source在監聽      

a) 編寫配置檔案：

# Name the components on this agent
a1.sources = r1
a1.sinks = k1
a1.channels = c1

# Describe/configure the source
a1.sources.r1.type = netcat
a1.sources.r1.bind = 192.168.80.80
a1.sources.r1.port = 44444

# Describe the sink
a1.sinks.k1.type = logger

# Use a channel which buffers events in memory
a1.channels.c1.type = memory
a1.channels.c1.capacity = 1000
a1.channels.c1.transactionCapacity = 100

# Bind the source and sink to the channel
a1.sources.r1.channels = c1
a1.sinks.k1.channel = c1

b) 啟動flume agent a1 服務端

flume-ng  agent -n a1  -c ../conf  -f ../conf/netcat.conf   -Dflume.root.logger=DEBUG,console

c) 使用telnet傳送資料

telnet  192.168.80.80  44444  big data world！（windows中執行的）

d) 在控制檯上檢視flume收集到的日誌資料： 

案例2：NetCat Source：監聽一個指定的網路埠，即只要應用程式向這個埠裡面寫資料，這個source元件就可以獲取到資訊。 其中 Sink：hdfs Channel：file (相比於案例1的兩個變化) 
flume官網中HDFS Sink的描述： 

a) 編寫配置檔案：

# Name the components on this agent
a1.sources = r1
a1.sinks = k1
a1.channels = c1

# Describe/configure the source
a1.sources.r1.type = netcat
a1.sources.r1.bind = 192.168.80.80
a1.sources.r1.port = 44444

# Describe the sink
a1.sinks.k1.type = hdfs
a1.sinks.k1.hdfs.path = hdfs://hadoop80:9000/dataoutput
a1.sinks.k1.hdfs.writeFormat = Text
a1.sinks.k1.hdfs.fileType = DataStream
a1.sinks.k1.hdfs.rollInterval = 10
a1.sinks.k1.hdfs.rollSize = 0
a1.sinks.k1.hdfs.rollCount = 0
a1.sinks.k1.hdfs.filePrefix = %Y-%m-%d-%H-%M-%S
a1.sinks.k1.hdfs.useLocalTimeStamp = true

# Use a channel which buffers events in file
a1.channels.c1.type = file
a1.channels.c1.checkpointDir = /usr/flume/checkpoint
a1.channels.c1.dataDirs = /usr/flume/data

# Bind the source and sink to the channel
a1.sources.r1.channels = c1
a1.sinks.k1.channel = c1

b) 啟動flume agent a1 服務端

flume-ng  agent -n a1  -c ../conf  -f ../conf/netcat.conf   -Dflume.root.logger=DEBUG,console

c) 使用telnet傳送資料

telnet  192.168.80.80  44444  big data world！（windows中執行的）

d) 在HDFS中檢視flume收集到的日誌資料：

 
 
案例3：Spooling Directory Source：監聽一個指定的目錄，即只要應用程式向這個指定的目錄中新增新的檔案，source元件就可以獲取到該資訊，並解析該檔案的內容，然後寫入到channle。寫入完成後，標記該檔案已完成或者刪除該檔案。其中 Sink：logger Channel：memory 
flume官網中Spooling Directory Source描述：

Property Name       Default      Description
channels              –  
type                  –          The component type name, needs to be spooldir.
spoolDir              –          Spooling Directory Source監聽的目錄
fileSuffix         .COMPLETED    檔案內容寫入到channel之後，標記該檔案
deletePolicy       never         檔案內容寫入到channel之後的刪除策略: never or immediate
fileHeader         false         Whether to add a header storing the absolute path filename.
ignorePattern      ^$           Regular expression specifying which files to ignore (skip)
interceptors          –          指定傳輸中event的head(頭資訊)，常用timestamp

Spooling Directory Source的兩個注意事項：

①If a file is written to after being placed into the spooling directory, Flume will print an error to its log file and stop processing.
即：拷貝到spool目錄下的檔案不可以再開啟編輯
②If a file name is reused at a later time, Flume will print an error to its log file and stop processing.
即：不能將具有相同檔名字的檔案拷貝到這個目錄下

a) 編寫配置檔案：

# Name the components on this agent
a1.sources = r1
a1.sinks = k1
a1.channels = c1

# Describe/configure the source
a1.sources.r1.type = spooldir
a1.sources.r1.spoolDir = /usr/local/datainput
a1.sources.r1.fileHeader = true
a1.sources.r1.interceptors = i1
a1.sources.r1.interceptors.i1.type = timestamp

# Describe the sink
a1.sinks.k1.type = logger

# Use a channel which buffers events in memory
a1.channels.c1.type = memory
a1.channels.c1.capacity = 1000
a1.channels.c1.transactionCapacity = 100

# Bind the source and sink to the channel
a1.sources.r1.channels = c1
a1.sinks.k1.channel = c1

b) 啟動flume agent a1 服務端

flume-ng  agent -n a1  -c ../conf  -f ../conf/spool.conf   -Dflume.root.logger=DEBUG,console

c) 使用cp命令向Spooling Directory 中傳送資料

 cp datafile  /usr/local/datainput   (注：datafile中的內容為：big data world！)

d) 在控制檯上檢視flume收集到的日誌資料： 

從控制檯顯示的結果可以看出event的頭資訊中包含了時間戳資訊。 
同時我們檢視一下Spooling Directory中的datafile資訊—-檔案內容寫入到channel之後，該檔案被標記了：

[root@hadoop80 datainput]# ls
datafile.COMPLETED

案例4：Spooling Directory Source：監聽一個指定的目錄，即只要應用程式向這個指定的目錄中新增新的檔案，source元件就可以獲取到該資訊，並解析該檔案的內容，然後寫入到channle。寫入完成後，標記該檔案已完成或者刪除該檔案。 其中 Sink：hdfs Channel：file (相比於案例3的兩個變化)

a) 編寫配置檔案：

# Name the components on this agent
a1.sources = r1
a1.sinks = k1
a1.channels = c1

# Describe/configure the source
a1.sources.r1.type = spooldir
a1.sources.r1.spoolDir = /usr/local/datainput
a1.sources.r1.fileHeader = true
a1.sources.r1.interceptors = i1
a1.sources.r1.interceptors.i1.type = timestamp

# Describe the sink
# Describe the sink
a1.sinks.k1.type = hdfs
a1.sinks.k1.hdfs.path = hdfs://hadoop80:9000/dataoutput
a1.sinks.k1.hdfs.writeFormat = Text
a1.sinks.k1.hdfs.fileType = DataStream
a1.sinks.k1.hdfs.rollInterval = 10
a1.sinks.k1.hdfs.rollSize = 0
a1.sinks.k1.hdfs.rollCount = 0
a1.sinks.k1.hdfs.filePrefix = %Y-%m-%d-%H-%M-%S
a1.sinks.k1.hdfs.useLocalTimeStamp = true

# Use a channel which buffers events in file
a1.channels.c1.type = file
a1.channels.c1.checkpointDir = /usr/flume/checkpoint
a1.channels.c1.dataDirs = /usr/flume/data

# Bind the source and sink to the channel
a1.sources.r1.channels = c1
a1.sinks.k1.channel = c1

b) 啟動flume agent a1 服務端

flume-ng  agent -n a1  -c ../conf  -f ../conf/spool.conf   -Dflume.root.logger=DEBUG,console

c) 使用cp命令向Spooling Directory 中傳送資料

 cp datafile  /usr/local/datainput   (注：datafile中的內容為：big data world！)

d) 在控制檯上可以參看sink的執行進度日誌： 

d) 在HDFS中檢視flume收集到的日誌資料： 

 
從案例1與案例2、案例3與案例4的對比中我們可以發現：flume的配置檔案在編寫的過程中是非常靈活的。

案例5：Exec Source：監聽一個指定的命令，獲取一條命令的結果作為它的資料來源 
常用的是tail -F file指令，即只要應用程式向日志(檔案)裡面寫資料，source元件就可以獲取到日誌(檔案)中最新的內容 。 其中 Sink：hdfs Channel：file 
這個案列為了方便顯示Exec Source的執行效果，結合Hive中的external table進行來說明。

a) 編寫配置檔案：

# Name the components on this agent
a1.sources = r1
a1.sinks = k1
a1.channels = c1

# Describe/configure the source
a1.sources.r1.type = exec
a1.sources.r1.command = tail -F /usr/local/log.file

# Describe the sink
a1.sinks.k1.type = hdfs
a1.sinks.k1.hdfs.path = hdfs://hadoop80:9000/dataoutput
a1.sinks.k1.hdfs.writeFormat = Text
a1.sinks.k1.hdfs.fileType = DataStream
a1.sinks.k1.hdfs.rollInterval = 10
a1.sinks.k1.hdfs.rollSize = 0
a1.sinks.k1.hdfs.rollCount = 0
a1.sinks.k1.hdfs.filePrefix = %Y-%m-%d-%H-%M-%S
a1.sinks.k1.hdfs.useLocalTimeStamp = true

# Use a channel which buffers events in file
a1.channels.c1.type = file
a1.channels.c1.checkpointDir = /usr/flume/checkpoint
a1.channels.c1.dataDirs = /usr/flume/data

# Bind the source and sink to the channel
a1.sources.r1.channels = c1
a1.sinks.k1.channel = c1

b)在hive中建立外部表—–hdfs://hadoop80:9000/dataoutput的目錄，方便檢視日誌捕獲內容

hive> create external table t1(infor  string)
    > row format delimited
    > fields terminated by '\t'
    > location '/dataoutput/';
OK
Time taken: 0.284 seconds

c) 啟動flume agent a1 服務端

flume-ng  agent -n a1  -c ../conf  -f ../conf/exec.conf   -Dflume.root.logger=DEBUG,console

d) 使用echo命令向/usr/local/datainput 中傳送資料

 echo  big data > log.file

d) 在HDFS和Hive分別中檢視flume收集到的日誌資料： 

hive> select * from t1;
OK
big data
Time taken: 0.086 seconds

e)使用echo命令向/usr/local/datainput 中在追加一條資料

echo big data world! >> log.file

d) 在HDFS和Hive再次分別中檢視flume收集到的日誌資料： 

hive> select * from t1;
OK
big data
big data world!
Time taken: 0.511 seconds

總結Exec source：Exec source和Spooling Directory Source是兩種常用的日誌採集的方式，其中Exec source可以實現對日誌的實時採集，Spooling Directory Source在對日誌的實時採集上稍有欠缺，儘管Exec source可以實現對日誌的實時採集，但是當Flume不執行或者指令執行出錯時，Exec source將無法收集到日誌資料，日誌會出現丟失，從而無法保證收集日誌的完整性。

案例6：Avro Source：監聽一個指定的Avro 埠，通過Avro 埠可以獲取到Avro client傳送過來的檔案 。即只要應用程式通過Avro 埠傳送檔案，source元件就可以獲取到該檔案中的內容。 其中 Sink：hdfs Channel：file 
(注：Avro和Thrift都是一些序列化的網路埠–通過這些網路埠可以接受或者傳送資訊，Avro可以傳送一個給定的檔案給Flume，Avro 源使用AVRO RPC機制) 
Avro Source執行原理如下圖： 
 
flume官網中Avro Source的描述：

Property     Name   Default Description
channels      –  
type          –     The component type name, needs to be avro
bind          –     日誌需要傳送到的主機名或者ip，該主機執行著ARVO型別的source
port          –     日誌需要傳送到的埠號，該埠要有ARVO型別的source在監聽

1)編寫配置檔案

# Name the components on this agent
a1.sources = r1
a1.sinks = k1
a1.channels = c1

# Describe/configure the source
a1.sources.r1.type = avro
a1.sources.r1.bind = 192.168.80.80
a1.sources.r1.port = 4141

# Describe the sink
a1.sinks.k1.type = hdfs
a1.sinks.k1.hdfs.path = hdfs://hadoop80:9000/dataoutput
a1.sinks.k1.hdfs.writeFormat = Text
a1.sinks.k1.hdfs.fileType = DataStream
a1.sinks.k1.hdfs.rollInterval = 10
a1.sinks.k1.hdfs.rollSize = 0
a1.sinks.k1.hdfs.rollCount = 0
a1.sinks.k1.hdfs.filePrefix = %Y-%m-%d-%H-%M-%S
a1.sinks.k1.hdfs.useLocalTimeStamp = true

# Use a channel which buffers events in file
a1.channels.c1.type = file
a1.channels.c1.checkpointDir = /usr/flume/checkpoint
a1.channels.c1.dataDirs = /usr/flume/data

# Bind the source and sink to the channel
a1.sources.r1.channels = c1
a1.sinks.k1.channel = c1

b) 啟動flume agent a1 服務端

flume-ng  agent -n a1  -c ../conf  -f ../conf/avro.conf   -Dflume.root.logger=DEBUG,console

c)使用avro-client傳送檔案

flume-ng avro-client -c  ../conf  -H 192.168.80.80  -p 4141 -F /usr/local/log.file

注：log.file檔案中的內容為：

[root@hadoop80 local]# more log.file
big data
big data world!

d) 在HDFS中檢視flume收集到的日誌資料： 

 

通過上面的幾個案例，我們可以發現：flume配置檔案的書寫是相當靈活的—-不同型別的Source、Channel和Sink可以自由組合！

最後對上面用的幾個flume source進行適當總結： 
① NetCat Source：監聽一個指定的網路埠，即只要應用程式向這個埠裡面寫資料，這個source元件 
就可以獲取到資訊。 
②Spooling Directory Source：監聽一個指定的目錄，即只要應用程式向這個指定的目錄中新增新的文 
件，source元件就可以獲取到該資訊，並解析該檔案的內容，然後寫入到channle。寫入完成後，標記 
該檔案已完成或者刪除該檔案。 
③Exec Source：監聽一個指定的命令，獲取一條命令的結果作為它的資料來源 
常用的是tail -F file指令，即只要應用程式向日志(檔案)裡面寫資料，source元件就可以獲取到日誌(檔案)中最新的內容 。 
④Avro Source：監聽一個指定的Avro 埠，通過Avro 埠可以獲取到Avro client傳送過來的檔案 。即只要應用程式通過Avro 埠傳送檔案，source元件就可以獲取到該檔案中的內容。