如何进行基于实时ETL的日志存储与分析实践

共计 2820 个字符，预计需要花费 8 分钟才能阅读完成。

这篇文章将为大家详细讲解有关如何进行基于实时 ETL 的日志存储与分析实践，文章内容质量较高，因此丸趣 TV 小编分享给大家做个参考，希望大家阅读完这篇文章后对相关知识有一定的了解。

日志大数据下的鱼和熊掌

我们正处于大数据、多样化数据（非结构化）的时代，实时的机器数据快速产生，做一家数据公司的核心之一是如何充分利用好大量日志数据。
由此背景，对日志的采集、存储、分析、管理也提出了更高的挑战，其中包括鱼和熊掌的选择问题：

鱼：成本高昂可能导致数据被删除，由此错过了价值发现。在数据量快速增长的同时，客户要保留更长时间的日志，还希望在相应场景下降低存储成本一半或更多。

熊掌：实时数据占机器数据的比例逐步增加，在实时价值越来越受重视的今天，客户希望继续得到交互式、一站式的体验。

鱼和熊掌如何得兼？这里讨论成本与体验的平衡。
SLS 是针对机器数据的一站式服务，为用户提供快捷的数据采集、消费、投递以及查询分析等功能，提升运维、运营效率。
我们在服务众多客户的时候，观察到在很多场景下，伴随日志量的不断增长，数据呈现出访问热度的差异。例如：

机器指标不断地追加更新，但在监控指标仪表盘上，新数据的访问频率远超过一天前的数据。

排查异常时，研发人员通过 tail 和 grep 关注 ERROR/WARN 日志的变化，定位问题往往不需要几天前的程序日志。

数据按业务属性有重要程度之分，大量非生产环境日志数据在 7 天后被访问概率很低，而最近的生产日志需要被灵活访问到。

下面将为大家介绍在 SLS 上兼顾日志数据灵活性、经济性的存储策略与实践。

基于数据加工与投递的业务分层数据系统架构

以 SLB 访问日志处理为例，一个区域下的多个实例数据通常存放在一个全量 Logstore 下（10 秒级延迟）。在该 Logstore 上配置数据加工作业实现数据预处理、按业务标签做数据流转。
错误、高延时的请求，需保证实时查询、快速统计能力，可以规划到一个带 SLS 索引的 Logstore。
其它的所有生产域名请求日志，需要长期存储以备审计、合规，可以转储临时 Logstore（充当桥梁）并投递到更经济的存储。

运维数据管道往往比较复杂，SLS 提供的 Serverless 的加工、投递服务，开箱即用。让如上方案实现起来更容易，且具有成本优势。

数据加工实现预处理

对于 SLB 七层监听的访问日志，URI 字段包含高价值的业务 key-value 字段，UserAgent 字段可以辅助监控各个端上的服务质量、稳定性。
加工前原日志部分字段：

request_uri: /api/get.convert.v2?fn=callback url=https%3A%2F%2Fmini.yyrtv.com%2Fr%2F80ba436b763b747d.html%3Ffrom%3D320101%26site%3D1
http_user_agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3947.100 Safari/537.36

加工 DSL 针对日志规整、抽取场景做处理：

通过 e_kv 抽取 URI 中的业务 key-value 对。

通过 ua_parse_all 对 http_user_agent 字符串做自动抽取。

e_kv(request_uri , prefix =  uri.)e_set(ua , ua_parse_all(v( http_user_agent)))e_json(ua , depth = 1, fmt =  root)e_drop_fields(ua ,  __tag__:__receive_time__)

URI 抽取得到 fn、url 两个业务 key-value 对，使用 e_json 函数对 ua_parse_all 的结果做进一步抽取得到设备、OS、UA 结构化信息。
加工后结果字段如下：

uri.fn: callbackuri.url: https%3A%2F%2Fmini.yyrtv.com%2Fr%2F80ba436b763b747d.html%3Ffrom%3D320101%26site%3D1ua.device: {family :  Other}ua.os: {family :  Windows ,  major :  7}ua.user_agent: {family :  Chrome ,  major :  69 ,  minor :  0 ,  patch :  3947}

数据加工实现数据分流

加工提供算子快速实现多源的数据汇集、同源数据的多目标分发，支持攒批发送（增加吞吐、利于压缩存储）、数据写入异常自动重试。
如下加工 DSL 实现了：

如果 RS 处理延迟有值且大于 5.0 秒，或者状态码非 200，这部分数据写入目标 debug。

符合正则表达式的线上域名产生的访问日志，全部写入到目标 product-host。

e_if(op_or(op_and(op_ne(v( upstream_response_time),  - ), op_ge(ct_float(v( upstream_response_time)), 5.0)), 
 op_ne(v( status),  200 )),
 e_coutput(name =  debug))
e_if(e_search( host ~=  .*-prod\.com), e_output(name =  product-host))
e_drop()

源 Logstore 不开启索引并缩短存储周期到 1 天，将上述两段 DSL 保存到一个加工作业运行，数据实时处理后流向两个下游 Logstore：

debug：存储周期设置为 30 天，开启索引。

product-host：存储周期设置为 1 天，开启 OSS 投递。

计算后端服务器处理延迟超过 60 秒的请求来源 IP 地理分布

SLS 数据 投递到 OSS 数据湖上，常见有两种场景：

1. 极低成本存储

投递时配置开启压缩以降低对象文件大小（日志一般为 5~15 倍压缩比），数据长期冷存储甚至可以选择归档存储类型或低频访问存储类型 OSS bucket。

2. 数据湖存储，兼顾中低频分析

SLS 投递 OSS 提供行存（json/csv）格式、列存（parquet）格式选择，可以根据自定义 key 列表来构建文件。
根据计算引擎（Spark、DLA 等）的特性，选择适当文件格式，可以在计算效率和成本之间取得一个平衡。
例如，使用 OSS select 指定对象文件做简单的数据查询，基于 OSS 的多种存储、计算分离实践都可以通过 Select 做加速。

多个存储实体之间，通过连线可以实现数据的流动分层。
在日志数据融合、价值释放、高效利用的道路上，SLS 数据加工、投递持续做好管道服务，满足更多样化的场景需求。

关于如何进行基于实时 ETL 的日志存储与分析实践就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。