AI 助理
备案控制台
开发者社区 云计算 文章 正文

海量、低成本历史日志分析实践

2019-02-25 5691
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
对象存储 OSS,20GB 3个月
推荐场景:
基于PAI-EAS挂载OSS部署AIGC服务 ossutil工具管理OSS
对象存储 OSS,内容安全 1000次 1年
日志服务 SLS,月写入数据量 50GB 1个月
简介: 日志作为一种特殊的数据,对处理历史数据、诊断问题以及了解系统活动等有着非常重要的作用。对数据分析人员、开发人员或者运维人员而言,日志都是其工作过程中必不可缺的数据来源。 通常情况下,为节约成本,我们会将日志设定一定的保存时间,只分析该时间段内的日志,此类日志称之为“热”日志。

背景信息

日志作为一种特殊的数据,对处理历史数据、诊断问题以及了解系统活动等有着非常重要的作用。对数据分析人员、开发人员或者运维人员而言,日志都是其工作过程中必不可缺的数据来源。

通常情况下,为节约成本,我们会将日志设定一定的保存时间,只分析该时间段内的日志,此类日志称之为“热”日志。这种做法,短期内可以满足使用需求,但从长期来看,大量的历史日志被搁置,无法发挥其价值。

对于许多企业而言,对日志分析的需求特征通常为低时效和低频率。并且在一个企业中,为偶发性的日志分析去构建一套完整的日志分析系统,无论在经济成本还是运维成本上都是不划算的。如何在降低存储成本的同时满足大批量日志的分析需求,是摆在企业面前的一道难题。

实施方案

阿里云从用户角度出发,研发了一整套小而精的历史日志数据分析方案。利用阿里云日志服务 LOG(Log Service,简称LOG/原SLS)来投递日志,阿里云对象存储服务(Object Storage Service,简称OSS)来存储日志,Data Lake Analytics(DLA)来分析日志。该方案有以下三个优势:

  • LOG是针对实时数据一站式服务,在阿里集团经历大量大数据场景锤炼而成。提供日志类数据采集、智能查询分析、消费与投递等功能,全面提升海量日志处理/分析能力。LOG强大的日志投递能力,能够从源头对接各种类型的日志格式,并且稳定地将日志投递到指定的位置。

  • OSS低廉的存储成本,能够让您的日志文件存储任意长的时间。

  • DLA强大的分析能力,Serverless的架构,按扫描量收费。DLA可以对投递到OSS上的日志按年、按月、按日进行多维度的分区,提高日志的命中率,降低扫描量,从而以极低的成本、极高的性能来完成大数据量历史日志分析。

架构图

例如,服务部署在云服务器ECS(Elastic Compute Service,简称ECS)集群上,该集群的每台机器上都有一个记录访问情况的日志access.log。希望能够对access.log进行信息抽取,并将过滤后的信息存储至OSS上。本文档将以此为例,详细为您介绍实施步骤。

前提条件

在开始实施步骤之前,需要先完成以下准备工作。

实施步骤

步骤一:通过Logtail采集ECS日志。

详细操作请参见通过Logtail采集ECS日志

根据本示例中的日志文件特点,Logtail配置如下所示。

配置

模式选择完整正则模式,需要提供完整正则表达式。

配置

步骤二:投递日志到OSS

详细操作请参见投递日志到OSS,并且日志服务投递OSS使用Parquet存储的相关配置

OSS投递功能页面,配置各项参数:

配置配置

参数说明:

  • OSS BucketOSS Prefix设置日志投递到OSS的哪个目录。

  • 修改分区格式,将分区列的名字填入到目录中,格式为分区列名=分区列值

    如图所示,修改分区格式默认值,即一级分区列的列名为year,列值为%Y; 二级分区列的列名为month,列值为%m;三级分区列的列名为day,列值为%d。

  • 存储格式设置为parquet

  • 压缩方式设置为snappy,使用snappy算法对数据做压缩,可以减少OSS Bucket存储空间使用量。

日志数据投递到OSS中以后,就可以通过DLA读取并分析OSS中的日志。

步骤三:在DLA中创建OSS连接

登录DLA控制台登录DMS,在DLA中创建一个到OSS的连接。语法如下:

试用 

  
  
    

   
   
  1. CREATE SCHEMA oss_log_schema with DBPROPERTIES(
    2. 

   
   
  2.   catalog='oss',
    3. 

   
   
  3.  location = 'oss://myappbucket/sls_parquet/'
    4. 

   
   
  4.  );
    5.

location:日志文件所在的OSS Bucket的目录,需以/结尾表示目录。myappbucket是OSS Bucket名字。

步骤四:在DLA中创建指向OSS日志文件的外表(分区表)

试用 

  
  
    

   
   
  1. CREATE EXTERNAL TABLE sls_parquet (
    2. 

   
   
  2.   content STRING,
    3. 

   
   
  3.   client STRING,
    4. 

   
   
  4.   process_id STRING,
    5. 

   
   
  5.   start_time STRING,
    6. 

   
   
  6.   total_time STRING,
    7. 

   
   
  7.   status STRING,
    8. 

   
   
  8.   original_sql STRING,
    9. 

   
   
  9.   rewritten_sql STRING
    10. 

   
   
  10.   ) PARTITIONED BY (year STRING, month STRING, day STRING)
    11. 

   
   
  11.   STORED AS PARQUET
    12. 

   
   
  12.   LOCATION 'oss://myappbucket/sls_parquet/';
    13.

注意:

步骤五:使用MSCK命令更新分区信息

外表创建成功后,执行MSCK REPAIR TABLE将分区信息同步到DLA中。MSCK命令只能识别符合DLA分区列命名规则的目录,即分区列的目录名为分区列名=分区列值

试用 

  
  
    

   
   
  1. MSCK REPAIR TABLE sls_parquet;
    2.

步骤六:查询分区表数据

分区信息同步完成后,使用SELECT语句对日志进行查询分析。例如,得到某一天查询最慢的5条语句。

试用 

  
  
    

   
   
  1. SELECT original_sql, total_time 
    2. 

   
   
  2. FROM sls_parquet 
    3. 

   
   
  3. WHERE client!='' 
    4. 

   
   
  4. ORDER BY total_time DESC 
    5. 

   
   
  5. LIMIT 5;
    6.

后续操作

上述示例中,日志数据投递OSS的存储格式为Parquet格式,除了Parquet格式,LOG还可以将投递文件的格式设置为JSON和CSV。详细的配置,请参见JSON格式CSV格式

JSON格式

  • 当投递文件的格式设置为JSON且无压缩时,建表语句为:

    试用 
    
    
    
      

     
     
    1.   CREATE EXTERNAL TABLE sls_json (
      2. 

     
     
    2.     content STRING,
      3. 

     
     
    3.     client STRING,
      4. 

     
     
    4.     process_id STRING,
      5. 

     
     
    5.     start_time STRING,
      6. 

     
     
    6.     total_time STRING,
      7. 

     
     
    7.     status STRING,
      8. 

     
     
    8.     original_sql STRING,
      9. 

     
     
    9.     rewritten_sql STRING
      10. 

     
     
    10.     ) PARTITIONED BY (year STRING, month STRING, day STRING)
      11. 

     
     
    11.     STORED AS JSON
      12. 

     
     
    12.     LOCATION 'oss://myappbucket/sls_json/';
      13.

  • 当投递文件的格式设置为JSON且使用标准Snappy压缩时,建表语句为:

    试用 
    
    
    
      

     
     
    1.   CREATE EXTERNAL TABLE sls_json_snappy (
      2. 

     
     
    2.     content STRING,
      3. 

     
     
    3.     client STRING,
      4. 

     
     
    4.     process_id STRING,
      5. 

     
     
    5.     start_time STRING,
      6. 

     
     
    6.     total_time STRING,
      7. 

     
     
    7.     status STRING,
      8. 

     
     
    8.     original_sql STRING,
      9. 

     
     
    9.     rewritten_sql STRING
      10. 

     
     
    10.     ) PARTITIONED BY (year STRING, month STRING, day STRING)
      11. 

     
     
    11.     STORED AS JSON
      12. 

     
     
    12.     LOCATION 'oss://myappbucket/sls_json_snappy/'
      13. 

     
     
    13.     TBLPROPERTIES(
      14. 

     
     
    14.       'text.compression'='snappy',
      15. 

     
     
    15.       'io.compression.snappy.native'='true'
      16. 

     
     
    16.     );
      17.

CSV格式

  • 当投递文件的格式设置为CSV,不包含header,使用标准Snappy压缩时,建表语句为:

    试用 
    
    
    
      

     
     
    1.   CREATE EXTERNAL TABLE sls_csv_snappy (
      2. 

     
     
    2.     content STRING,
      3. 

     
     
    3.     client STRING,
      4. 

     
     
    4.     process_id STRING,
      5. 

     
     
    5.     start_time STRING,
      6. 

     
     
    6.     total_time STRING,
      7. 

     
     
    7.     status STRING,
      8. 

     
     
    8.     original_sql STRING,
      9. 

     
     
    9.     rewritten_sql STRING
      10. 

     
     
    10.     ) PARTITIONED BY (year STRING, month STRING, day STRING)
      11. 

     
     
    11.   ROW FORMAT SERDE 'org.apache.hadoop.hive.serde2.OpenCSVSerde'
      12. 

     
     
    12.   WITH SERDEPROPERTIES(
      13. 

     
     
    13.   'separatorChar'=',',
      14. 

     
     
    14.   'quoteChar'='"',
      15. 

     
     
    15.   'escapeChar'='\\'
      16. 

     
     
    16.   )
      17. 

     
     
    17.   STORED AS TEXTFILE
      18. 

     
     
    18.   LOCATION 'oss://myappbucket/sls_csv_snappy/'
      19. 

     
     
    19.   TBLPROPERTIES(
      20. 

     
     
    20.       'text.compression'='snappy',
      21. 

     
     
    21.       'io.compression.snappy.native'='true',
      22. 

     
     
    22.       'skip.header.line.count'='0'
      23. 

     
     
    23.   );
      24.

    csv

  • 当投递文件的格式设置为CSV无压缩,且包含header时,建表语句为:

    试用 
    
    
    
      

     
     
    1.   CREATE EXTERNAL TABLE sls_csv (
      2. 

     
     
    2.     content STRING,
      3. 

     
     
    3.     client STRING,
      4. 

     
     
    4.     process_id STRING,
      5. 

     
     
    5.     start_time STRING,
      6. 

     
     
    6.     total_time STRING,
      7. 

     
     
    7.     status STRING,
      8. 

     
     
    8.     original_sql STRING,
      9. 

     
     
    9.     rewritten_sql STRING
      10. 

     
     
    10.     ) PARTITIONED BY (year STRING, month STRING, day STRING)
      11. 

     
     
    11.   ROW FORMAT SERDE 'org.apache.hadoop.hive.serde2.OpenCSVSerde'
      12. 

     
     
    12.   WITH SERDEPROPERTIES(
      13. 

     
     
    13.   'separatorChar'=',',
      14. 

     
     
    14.   'quoteChar'='"',
      15. 

     
     
    15.   'escapeChar'='\\'
      16. 

     
     
    16.   )
      17. 

     
     
    17.   STORED AS TEXTFILE
      18. 

     
     
    18.   LOCATION 'oss://myappbucket/sls_csv/'
      19. 

     
     
    19.   TBLPROPERTIES(
      20. 

     
     
    20.       'skip.header.line.count'='1'
      21. 

     
     
    21.   );
      22.
文章标签:
日志服务
云服务器 ECS
对象存储
对象存储
监控
存储
数据格式
弹性计算
数据库管理
运维
文件存储
Serverless
JSON
关键词:
日志服务实践
相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
东西南左上
目录
相关文章
不吃核桃
|
5月前
|
存储 消息中间件 Java
Apache Flink 实践问题之原生TM UI日志问题如何解决
Apache Flink 实践问题之原生TM UI日志问题如何解决
不吃核桃
55 1
toddli
|
5月前
|
存储 监控 数据库
Django 后端架构开发:高效日志规范与实践
Django 后端架构开发:高效日志规范与实践
toddli
105 1
阿里云云原生
|
8天前
|
存储 监控 安全
网络安全视角:从地域到账号的阿里云日志审计实践
日志审计的必要性在于其能够帮助企业和组织落实法律要求,打破信息孤岛和应对安全威胁。选择 SLS 下日志审计应用,一方面是选择国家网络安全专用认证的日志分析产品,另一方面可以快速帮助大型公司统一管理多组地域、多个账号的日志数据。除了在日志服务中存储、查看和分析日志外,还可通过报表分析和告警配置,主动发现潜在的安全威胁,增强云上资产安全。
阿里云云原生
77 5
前端徐徐
|
3月前
|
Rust 前端开发 JavaScript
Tauri 开发实践 — Tauri 日志记录功能开发
本文介绍了如何为 Tauri 应用配置日志记录。Tauri 是一个利用 Web 技术构建桌面应用的框架。文章详细说明了如何在 Rust 和 JavaScript 代码中设置和集成日志记录,并控制日志输出。通过添加 `log` crate 和 Tauri 日志插件,可以轻松实现多平台日志记录,包括控制台输出、Webview 控制台和日志文件。文章还展示了如何调整日志级别以优化输出内容。配置完成后,日志记录功能将显著提升开发体验和程序稳定性。
前端徐徐
172 1
Tauri 开发实践 — Tauri 日志记录功能开发
阿里云瑶池数据库SelectDB
|
2天前
|
存储 运维 监控
金融场景 PB 级大规模日志平台:中信银行信用卡中心从 Elasticsearch 到 Apache Doris 的先进实践
中信银行信用卡中心每日新增日志数据 140 亿条(80TB),全量归档日志量超 40PB,早期基于 Elasticsearch 构建的日志云平台,面临存储成本高、实时写入性能差、文本检索慢以及日志分析能力不足等问题。因此使用 Apache Doris 替换 Elasticsearch,实现资源投入降低 50%、查询速度提升 2~4 倍,同时显著提高了运维效率。
阿里云瑶池数据库SelectDB
30 3
金融场景 PB 级大规模日志平台:中信银行信用卡中心从 Elasticsearch 到 Apache Doris 的先进实践
阿里云云原生
|
1月前
|
存储 数据采集 监控
云上数据安全保护:敏感日志扫描与脱敏实践详解
随着企业对云服务的广泛应用,数据安全成为重要课题。通过对云上数据进行敏感数据扫描和保护,可以有效提升企业或组织的数据安全。本文主要基于阿里云的数据安全中心数据识别功能进行深入实践探索。通过对商品购买日志的模拟,分析了如何使用阿里云的工具对日志数据进行识别、脱敏(3 种模式)处理和基于 StoreView 的查询脱敏方式,从而在保障数据安全的同时满足业务需求。通过这些实践,企业可以有效降低数据泄漏风险,提升数据治理能力和系统安全性。
阿里云云原生
336 13
云上数据安全保护:敏感日志扫描与脱敏实践详解
羿莉(萧羿)
|
27天前
|
存储 监控 安全
网络安全视角:从地域到账号的阿里云日志审计实践
日志审计的必要性在于其能够帮助企业和组织落实法律要求,打破信息孤岛和应对安全威胁。选择 SLS 下日志审计应用,一方面是选择国家网络安全专用认证的日志分析产品,另一方面可以快速帮助大型公司统一管理多组地域、多个账号的日志数据。除了在日志服务中存储、查看和分析日志外,还可通过报表分析和告警配置,主动发现潜在的安全威胁,增强云上资产安全。
羿莉(萧羿)
159 3
番茄酱脑袋
|
5月前
|
存储 监控 Serverless
阿里泛日志设计与实践问题之Grafana Loki在日志查询方案中存在哪些设计限制,如何解决
阿里泛日志设计与实践问题之Grafana Loki在日志查询方案中存在哪些设计限制,如何解决
番茄酱脑袋
85 0
番茄酱脑袋
|
5月前
|
存储 搜索推荐 大数据
阿里泛日志设计与实践问题之schema-on-read技术的发展对日志搜索的影响是啥,如何解决
阿里泛日志设计与实践问题之schema-on-read技术的发展对日志搜索的影响是啥,如何解决
番茄酱脑袋
54 0
羿莉(萧羿)
|
2月前
|
存储 数据采集 监控
云上数据安全保护:敏感日志扫描与脱敏实践详解
随着企业对云服务的广泛应用,数据安全成为重要课题。通过对云上数据进行敏感数据扫描和保护,可以有效提升企业或组织的数据安全。本文主要基于阿里云的数据安全中心数据识别功能进行深入实践探索。通过对商品购买日志的模拟,分析了如何使用阿里云的工具对日志数据进行识别、脱敏(3 种模式)处理和基于 StoreView 的查询脱敏方式,从而在保障数据安全的同时满足业务需求。通过这些实践,企业可以有效降低数据泄漏风险,提升数据治理能力和系统安全性。
羿莉(萧羿)
385 6

热门文章

最新文章

  • 1
    java项目中jar启动执行日志报错:no main manifest attribute, in /www/wwwroot/snow-server/z-server.jar-jar打包的大小明显小于正常大小如何解决
  • 2
    网络安全视角:从地域到账号的阿里云日志审计实践
  • 3
    日志服务 SQL 引擎全新升级
  • 4
    开源更新|通义3D-Speaker多说话人日志功能
  • 5
    实时记录和查看Apache 日志
  • 6
    【赵渝强老师】Redis的慢查询日志
  • 7
    Spring Boot 3 集成Spring AOP实现系统日志记录
  • 8
    【赵渝强老师】MongoDB的Journal日志
  • 9
    网络安全视角:从地域到账号的阿里云日志审计实践
  • 10
    启用Linux防火墙日志记录和分析功能
  • 1
    金融场景 PB 级大规模日志平台:中信银行信用卡中心从 Elasticsearch 到 Apache Doris 的先进实践
    30
  • 2
    “日志=数据库”?聊一聊日志背后的抽象
    25
  • 3
    Spring Boot中的日志框架选择
    28
  • 4
    日志审计是什么?为什么企业需要日志审计?
    37
  • 5
    网络安全视角:从地域到账号的阿里云日志审计实践
    77
  • 6
    【赵渝强老师】Redis的慢查询日志
    69
  • 7
    Spring Boot 3 集成Spring AOP实现系统日志记录
    65
  • 8
    网络设备日志记录
    52
  • 9
    MySQL事务日志-Undo Log工作原理分析
    31
  • 10
    实时记录和查看Apache 日志
    46

    • 相关课程

    更多
  • 基于MongoDB构建实时日志分析平台
  • 日志服务SLS实现云产品可观测
  • 日志服务 SLS 可观测数据分析平台介绍
  • 大数据知识图谱系列—基于ELK+Flink日志全观测最佳实践
  • 场景实践-基于阿里云Quick BI 对MOOC网站日志分析
  • 阿里云实时数仓实战 - 数据生成及采集

    • 相关电子书

    更多
  • PostgresChina2018_赖思超_PostgreSQL10_hash索引的WAL日志修改版final
  • Kubernetes下日志实时采集、存储与计算实践
  • 日志数据采集与分析对接

    • 相关实验场景

    更多
  • 基于Hologres轻量实时的高性能OLAP分析
  • 基于DTS构建一站式实时数据服务
  • 利用大模型大规模分发技术,实现AIGC在线应用秒级弹性
  • 使用CloudLens管理SLS日志采集
  • 使用CloudLens采集PolarDB日志并进行审计分析
  • 基于Flink+Tair搭建实时监控大屏
    • 下一篇
    阿里云oss简介和如何对接使用