使用EMR-Flume同步HDFS audit日志到HDFS
1.前言
E-MapReduce从3.19.0版本开始对EMR-Flume提供集群管理的功能。通过集群管理功能,可以在Web页面方便的配置和管理Flume Agent。
本文将使用EMR-Flume实时同步HDFS audit日志至HDFS,便于对HDFS操作记录进行离线统计和实时分析。
2.部署方案
2.1方案一
在master实例启动Flume agent,收集本地磁盘中的audit日志并sink到HDFS。
这个方案架构和配置比较简单,但是master实例本身部署了比较重要且对资源占用比较敏感的服务,比如Zookeeper,在master实例中HDFS读写操作如果占用过多资源会对这些服务产生影响。
2.2方案二
选取core实例启动Flume agent做sink HDFS的操作,在master实例启动Flume agent,收集本地磁盘中的audit日志通过Avro协议发送数据至core实例。
使用这个方案时,考虑到core实例上Flume运行的稳定性,可以选取多个core实例构成failover sink processor。
本文以方案二对操作流程作说明。
3.操作流程
3.1准备工作
创建E-MapReduce Hadoop集群,在可选服务中选择Flume。具体操作可参考创建集群
3.2 core实例配置并启动Flume Agent
比如在emr-worker-1节点进行操作,选择核心实例组进行配置,如下入所示
在配置页面设置如下
| default-agent.sinks.default-sink.type | hdfs |
|---|---|
| default-agent.channels.default-channel.type | file |
| default-agent.sources.default-source.type | avro |
| deploy_node_hostname | emr-worker-1 |
在配置页面通过自定义配置添加如下配置:
| default-agent.sinks.default-sink.hdfs.path | 对于高可用集群,使用hdfs://emr-cluster/path形式的地址 |
|---|---|
| default-agent.sinks.default-sink.hdfs.fileType | DataStream |
| default-agent.sinks.default-sink.hdfs.rollSize | 0 |
| default-agent.sinks.default-sink.hdfs.rollCount | 0 |
| default-agent.sinks.default-sink.hdfs.rollInterval | 86400 |
| default-agent.sinks.default-sink.hdfs.batchSize | 51200 |
| default-agent.sources.default-source.bind | 0.0.0.0 |
| default-agent.sources.default-source.port | 根据实际设置 |
| default-agent.channels.default-channel.transactionCapacity | 51200 |
| default-agent.channels.default-channel.dataDirs | channel存储event数据的路径 |
| default-agent.channels.default-channel.checkpointDir | 存储checkpoint的路径 |
| default-agent.channels.default-channel.capacity | 根据hdfs roll进行设置 |
说明:为避免生成过多小文件,通常以GB为单位生成HDFS文件,或者按天生成一个文件。此处按照时间来生成文件,可根据实际情况进行设置.
保存配置后启动Flume agent
在查看操作历史里显示操作成功后,部署拓扑页面可以看到emr-worker-1节点的flume已经是started状态
emr-worker-1节点启动成功后,开始启动第二个worker节点。
同样的方式,比如在worker-2节点启动flume,修改配置项
| deploy_node_hostname | 节点的hostname |
|---|---|
| default-agent.sinks.default-sink.hdfs.path | 对于高可用集群,使用hdfs://emr-cluster/path形式的地址 |
保存配置后,启动 All Components,指定机器为emr-worker-2。
3.3 master实例配置并启动Flume Agent
比如在emr-header-1节点进行操作,选择服务配置
配置agent如下
| additional_sinks | k1 | |
|---|---|---|
| deploy_node_hostname | emr-header-1 | |
| default-agent.sources.default-source.type | taildir | |
| default-agent.sinks.default-sink.type | avro | |
| default-agent.channels.default-channel.type | file |
新增配置如下:
| 配置项 | 值 |
|---|---|
| default-agent.sources.default-source.filegroups | f1 |
| default-agent.sources.default-source.filegroups.f1 | /mnt/disk1/log/hadoop-hdfs/hdfs-audit.log.* |
| default-agent.sources.default-source.positionFile | 存储position file的路径 |
| default-agent.channels.default-channel.checkpointDir | 存储checkpoint的路径 |
| default-agent.channels.default-channel.dataDirs | 存储event数据的路径 |
| default-agent.channels.default-channel.capacity | 根据实际情况设置 |
| default-agent.sources.default-source.batchSize | 2000 |
| default-agent.channels.default-channel.transactionCapacity | 2000 |
| default-agent.sources.default-source.ignoreRenameWhenMultiMatching | true |
| default-agent.sinkgroups | g1 |
| default-agent.sinkgroups.g1.sinks | default-sink k1 |
| default-agent.sinkgroups.g1.processor.type | failover |
| default-agent.sinkgroups.g1.processor.priority.default-sink | 10 |
| default-agent.sinkgroups.g1.processor.priority.k1 | 5 |
| default-agent.sinks.default-sink.hostname | emr-worker-1节点的IP |
| default-agent.sinks.default-sink.port | emr-worker-1节点Flume Agent的port |
| default-agent.sinks.k1.hostname | emr-worker-2节点的IP |
| default-agent.sinks.k1.port | emr-worker-2节点Flume Agent的port |
| default-agent.sinks.default-sink.batch-size | 2000 |
| default-agent.sinks.k1.batch-size | 2000 |
| default-agent.sinks.k1.type | avro |
| default-agent.sinks.k1.channel | default-channel |
需要说明的是,Flume的taildir source在filegroups使用通配符匹配log4j的滚动日志时会有数据重复的问题,通过对EMR-Flume配置ignoreRenameWhenMultiMatching可以避免这种问题。
保存配置后,相同的方式指定机器为emr-header-1启动flume。
如果需要在emr-header-2节点启动Flume agent,只需对配置作如下修改
3.4查看同步结果
使用HDFS命令,可以看到同步的数据被写入FlumeData.${timestamp}形式的文件中,其中timestamp为文件创建的时间戳
