小菜鸟

java菜鸟号正在起航

0%

flume监控目录文件

发表于 更新于 分类于 阅读次数: Valine:
本文字数: 7.8k 阅读时长 ≈ 7 分钟

flume监控目录文件实战:三种 Source 方案对比与配置指南

在实际业务中,监控目录文件变化并实时采集数据是常见需求(如应用日志、业务数据文件等)。Flume 提供了三种主流方案实现目录文件监控,各有优劣。本文将详细讲解 Exec SourceSpool Dir SourceTaildir Source 的配置方法、适用场景及核心参数调优,帮你选择最适合的方案。

三种监控方案对比

在开始配置前,先明确三种 Source 的核心差异,便于根据场景选择:

方案 核心原理 数据可靠性 实时性 适用场景 局限性
Exec Source 执行命令(如 tail -F)监听文件 低(易丢失) 实时跟踪单个追加文件(如日志文件) 进程重启后丢失偏移量,不支持多文件监控
Spool Dir Source 监控目录新增文件,自动读取并标记,且可以做到断点续传 批量处理新增文件(如定时生成的报表) 文件一旦放入目录不可修改,延迟较高
Taildir Source 监控多个文件,记录偏移量到文件 多文件实时跟踪 + 断点续传 配置稍复杂,需维护偏移量文件

方案一:Exec Source 实时跟踪单个文件

Exec Source 通过执行 Unix 命令(如 tail -F)实时采集文件新增内容,适合监控持续追加的单个文件(如应用程序的实时日志)。

核心配置(以采集到 HDFS 为例)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
# 1. 定义组件名称  
#事件源名称
agent1.sources = execSource
#通道名称
agent1.channels = memoryChannel
#接收器名称
agent1.sinks = hdfsSink

# 2. 配置 Exec Source
# For each one of the sources, the type is defined
# 事件源类型 常见的有avro(监听Avro端口并从外部Avro客户端流接收事件)、thrift(监听Thrift端口并从外部Thrift客户端流接收事件)、exec(Exec源在启动时运行给定的Unix命令,并期望该进程在标准输出上连续产生数据)、spooldir(此源允许您通过将要提取的文件放入磁盘上的“spooling”目录中来提取数据。此源将监视新文件的指定目录,并在新文件显示时解析新文件中的事件)、org.apache.flume.source.kafka.KafkaSource(从Kafka主题读取消息的Apache Kafka消费者)、seq(简单的序列发生器,不断的产生事件,值是从0开始每次递增1)
agent1.sources.execSource.type = exec
# -F 支持文件删除后重建仍能继续跟踪
agent1.sources.execSource.command = tail -F /Users/zhanghe/desktop/user/test/testExec.txt
# 命令执行超时时间(秒),0 表示不超时  
# 命令失败后自动重启  
agent1.sources.execSource.restart = true  
 # 重启间隔(毫秒)
agent1.sources.execSource.restartThrottle = 5000 



# 3. 配置 HDFS Sink(接收器) 
# Each sink's type must be defined
# 接收器的类型 常见的有hdfs(将事件写入Hadoop分布式文件系统(HDFS))、hive(将包含定界文本或JSON数据的事件直接传输到Hive表或分区)、hbase、avro、org.apache.flume.sink.kafka.KafkaSink(将数据发布到Kafka主题)
agent1.sinks.hdfsSink.type = hdfs

# HDFS 存储路径(按日期+小时分区)  
# 配置hdfs路径,按照日期和小时切割文件
agent1.sinks.hdfsSink.hdfs.path = hdfs://localhost:9000/exec-flume-hdfs/%Y-%m-%d/%H
# 文件前缀
agent1.sinks.hdfsSink.hdfs.filePrefix = test-
# 正在接收数据写操作的临时文件后缀
agent1.sinks.hdfsSink.hdfs.inUseSuffix = .tmp
# 文件归档为目标文件的文件后缀名
agent1.sinks.hdfsSink.hdfs.fileSuffix = .txt
# 使用本地时间
agent1.sinks.hdfsSink.hdfs.useLocalTimeStamp = true


# 4. 配置文件滚动策略(避免文件过大)
##############切割文件
# 若以时间切割文件时,滚动为目标文件之前的最大时间间隔,单位秒
# 如果为0,则表示不根据时间来滚动文件
# 每小时滚动一次文件(秒)
agent1.sinks.hdfsSink.hdfs.rollInverval = 3600

# 若以大小切割文件时,滚动为目标文件之前的最多字节数
# 如果为0,则表示不根据临时文件大小来滚动文件
# 单个文件达到 10MB 滚动(字节)
agent1.sinks.hdfsSink.hdfs.rollSize = 10485760

# 配置当事件数据达到该数量时,将临时文件滚动成目标文件
# 如果为0,表示不根据事件数据来滚动文件
agent1.sinks.hdfsSink.hdfs.rollCount = 0
# # 每 100 个事件批量写入 HDFS
agent1.sinks.hdfsSink.hdfs.batchSize = 100


############文件夹
# 是否更换文件夹
agent1.sinks.hdfsSink.hdfs.round=true
# 周期值
agent1.sinks.hdfsSink.hdfs.roundValue=1
# 周期单元  注意与hdfs。path的文件夹进行匹配,如果文件夹没有%H文件夹,不生效
agent1.sinks.hdfsSink.hdfs.roundUnit=hour


# 文件格式,默认为SequenceFile
agent1.sinks.hdfsSink.hdfs.fileType = DataStream

# 写sequence文件的格式,默认Writable
agent1.sinks.hdfsSink.hdfs.writeFormat = Text
# 配置当前被打开的临时文件在该参数指定的时间内,没有任何数据写入时则将该临时文件关闭并重命名为目标文件
agent1.sinks.hdfsSink.hdfs.idleTimeout = 0

# 接收器启动操作HDFS的线程数,默认10
agent1.sinks.hdfsSink.hdfs.threadsPoolSize = 15
# 执行HDFS操作的超时时间,默认10s
agent1.sinks.hdfsSink.hdfs.callTimeout = 60000


# 5. 配置内存通道 
# Each channel's type is defined.
# 通道类型  常见的有 file(将数据存储到磁盘上)、memory(存储在具有可配置最大大小的内存队列中)、jdbc(存放于一个支持JDBC连接的数据库中)、SPILLABLEMEMORY(存放在内存和磁盘上,内存作为主要存储,当内存达到一定临界点的时候会溢写到磁盘上。其中和了memory channel和File channel的优缺点)
agent1.channels.memoryChannel.type = memory

# Other config values specific to each type of channel(sink or source)
# can be defined as well
# In this case, it specifies the capacity of the memory channel
# 通道中停留的最大事件数,最大缓存事件数
agent1.channels.memoryChannel.capacity = 1000
# 每次事务最大处理事件数  
agent1.channels.memoryChannel.transactionCapacity = 100 



# 6. 绑定组件关系
# The channel can be defined as follows.
# 事件源的通道,绑定通道
agent1.sources.execSource.channels = memoryChannel
#Specify the channel the sink should use
# 接收器通道名称,绑定通道
agent1.sinks.hdfsSink.channel = memoryChannel

启动命令

1
2
3
4
5
flume-ng agent \  
  -c /usr/local/flume/conf \  # Flume 配置目录  
  -f conf/flume-exec.conf \   # 自定义配置文件  
  --name agent1 \              # Agent 名称(与配置一致)  
  -Dflume.root.logger=INFO,console  # 控制台输出日志(调试用)

关键注意事项

  • 可靠性问题:若 Flume 进程重启,tail -F 会从文件开头重新读取,可能导致数据重复;若文件被删除重建,tail -F 可继续跟踪,但需确保命令正确。
  • 命令选择:优先使用 tail -F 而非 tail -f,前者支持文件删除后重建的场景(如日志轮转后新文件)。

方案二:Spool Dir Source 批量处理新增文件

Spool Dir Source 监控指定目录,当新文件放入目录后自动读取,读取完成后标记为 “已处理”(如添加后缀)。适合批量处理新增文件(如定时生成的 CSV 报表、归档文件)。

核心配置

复用 HDFS Sink 和 Channel 配置,仅修改 Source 部分

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
# 1. 定义组件名称(复用通道和接收器)
#事件源名称
agent1.sources = spooldirSource
#通道名称
agent1.channels = memoryChannel
#接收器名称
agent1.sinks = hdfsSink

# 2. 配置 Spool Dir Source  
agent1.sources.spooldirSource.type = spooldir
# 监控的目录路径(需确保 Flume 有读写权限)  
agent1.sources.spooldirSource.spoolDir = /Users/zhanghe/desktop/user/test/  
# 已处理文件的后缀(默认 .COMPLETED)  
agent1.sources.spooldirSource.fileSuffix = .PROCESSED  
# 忽略以 .tmp 结尾的临时文件(避免读取未写完的文件)  
agent1.sources.spooldirSource.ignorePattern = ^.*\.tmp$  
# 最大文件大小(字节),超过则跳过(防止超大文件阻塞)  
# 100MB  
agent1.sources.spooldirSource.maxFileSize = 104857600  


# 3. 其他配置复用 HDFS Sink 和 Channel(同方案一)  
# ...(省略与方案一相同的 Sink 和 Channel 配置)  


# 4. 绑定组件关系  
agent1.sources.spooldirSource.channels = memoryChannel  
agent1.sinks.hdfsSink.channel = memoryChannel

工作流程与优势

  1. 文件放入目录:将文件复制到 spoolDir 目录(如 /Users/zhanghe/desktop/user/test/),Flume 会定期扫描目录。
  2. 自动读取:检测到新文件后,Flume 打开文件并读取内容,转换为 Event 发送到 Channel。
  3. 标记已处理:读取完成后,文件被重命名为 原文件名.PROCESSED,避免重复读取。

关键注意事项

  • 文件不可修改:文件放入目录后不可编辑或删除,否则会导致 Flume 报错(可通过 ignorePattern 过滤临时文件)。
  • 延迟问题:扫描目录有间隔(默认 500 毫秒),实时性不如 Exec Source,适合非实时批量场景。

方案三:Taildir Source 多文件实时跟踪 + 断点续传

Taildir Source 是 Flume 1.7+ 新增的高级方案,支持监控多个文件,通过偏移量文件记录读取位置,重启后不丢失进度。兼顾实时性和可靠性,是生产环境的首选。

核心配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
# 1. 定义组件名称  
agent2.sources = taildirSource  
agent2.channels = memoryChannel  
agent2.sinks = hdfsSink

# 2. 配置 Taildir Source  

agent2.sources.tairDirSource.type = TAILDIR
# 定义文件组(可监控多个文件/目录,用空格分隔)
agent2.sources.tairDirSource.filegroups = log1 log2
# log1 监控单个文件  
agent2.sources.taildirSource.filegroups.log1 = /Users/zhanghe/desktop/user/test/testTailDir/test1.log  
# log2 监控目录下所有 .log 文件(支持通配符)  
agent2.sources.taildirSource.filegroups.log2 = /Users/zhanghe/desktop/user/test/testTailDir/*.log  
# 偏移量记录文件(重启后从记录位置继续读取)  
agent2.sources.taildirSource.positionFile = /Users/zhanghe/desktop/user/test/testTailDir/taildir_position.json  
# 扫描文件变化的间隔(毫秒),默认 1000  
agent2.sources.taildirSource.pollInterval = 500

# 3. 其他配置复用 HDFS Sink 和 Channel(同方案一)  
# ...(省略与方案一相同的 Sink 和 Channel 配置)  


# 4. 绑定组件关系  
agent2.sources.taildirSource.channels = memoryChannel  
agent2.sinks.hdfsSink.channel = memoryChannel

核心优势解析

  • 多文件监控:通过 filegroups 定义多个文件或目录(支持通配符 *),灵活覆盖多场景。
  • 断点续传positionFile 记录每个文件的最后读取位置(JSON 格式),进程重启后从断点继续,避免重复或丢失。
  • 实时性高:通过 pollInterval 控制扫描频率(最小 100 毫秒),接近实时跟踪文件变化。

偏移量文件示例

taildir_position.json 内容如下,记录每个文件的 inode(文件唯一标识)和偏移量:

1
2
3
4
5
{  
  "inode": 123456,  
  "position": 1500,  
  "file": "/Users/zhanghe/desktop/user/test/testTailDir/test1.log"  
}

通用配置:HDFS Sink 核心参数调优

三种方案的 HDFS Sink 配置类似,以下是关键参数优化建议,确保数据高效写入 HDFS:

1. 文件滚动策略

控制临时文件何时转为正式文件,避免文件过大或过小:

1
2
3
4
5
6
# 时间滚动:每 30 分钟生成一个新文件(秒)  
agent1.sinks.hdfsSink.hdfs.rollInterval = 1800  
# 大小滚动:单个文件达到 50MB 时滚动(字节)  
agent1.sinks.hdfsSink.hdfs.rollSize = 52428800  
# 事件数滚动:累计 10000 个事件时滚动  
agent1.sinks.hdfsSink.hdfs.rollCount = 10000

提示:三个参数取 “或” 关系,满足任一条件即滚动文件。

2. 目录分区与命名

按时间分区存储,便于后续查询和归档:

1
2
3
4
# 路径按“年-月-日/小时”分区  
agent1.sinks.hdfsSink.hdfs.path = hdfs://localhost:9000/flume/logs/%Y-%m-%d/%H  
agent1.sinks.hdfsSink.hdfs.useLocalTimeStamp = true  # 使用本地时间而非 UTC  
agent1.sinks.hdfsSink.hdfs.filePrefix = app-  # 文件前缀,如 app-20240722-10.log

3. 可靠性与性能

1
2
3
4
5
6
# 批量写入事件数(根据内存和网络调整)  
agent1.sinks.hdfsSink.hdfs.batchSize = 500  
# 文件类型:DataStream 表示纯文本(默认 SequenceFile 二进制)  
agent1.sinks.hdfsSink.hdfs.fileType = DataStream  
# 写入线程池大小(并发写入 HDFS)  
agent1.sinks.hdfsSink.hdfs.threadsPoolSize = 20

生产环境最佳实践

  1. 通道选择

    • 对可靠性要求高的场景(如金融数据),使用 File Channel 替代 Memory Channel,避免 Flume 崩溃导致数据丢失:
 
1
2
3
agent1.channels.fileChannel.type = file  
agent1.channels.fileChannel.checkpointDir = /var/flume/checkpoint  #  checkpoint 目录  
agent1.channels.fileChannel.dataDirs = /var/flume/data  # 数据存储目录

  1. 文件权限控制

    • 确保 Flume 进程对监控目录、偏移量文件、HDFS 路径有读写权限,避免因权限不足导致采集失败。

  2. 监控告警

    • 通过 Flume 的 JMX 指标(如 ChannelSizeSinkSuccessCount)监控数据积压情况,结合 Prometheus + Grafana 建立告警机制。

总结

三种方案中,Taildir Source 凭借多文件支持、断点续传、高实时性成为生产环境首选;Spool Dir Source 适合批量处理新增文件,无需担心数据重复;Exec Source 仅推荐用于简单的单文件实时跟踪,需容忍潜在的数据丢失风险。

相关文章

欢迎关注我的其它发布渠道