互联网的发展，带来了日新月异的业务种类，随着业务的增长，随之而来的，是业务日志指数的递增。一些公司每条业务线， 提供服务的线上服务器就达几百台之多， 每天的日志量超百亿。如何能够将散落在各服务器上的日志数据高效的收集汇总起来， 成了在数据分析处理之前必须解决的问题。

一个优秀的数据收集框架，需要具备三点特性，一是低延迟，二是可扩展，三是容错性。

各大互联网巨头都开发了自己的日志收集工具， 比如Apache的chukwa，Facebook的scribe，Cloudera的flume以及ELK stack(归属于Elastic.co公司)组合中的logstash，都是目前比较流行的开源的日志收集框架。

除此之外，Linkedin的kafka 和 阿里的TT(TimeTUnel), 也是高效的数据传输框架，在其基础上，可以方便地搭建出高性能的数据收集框架。阿里通过TT搭建的数据收集系统，服务了一半以上的公司业务， 同时TT在HBase的支撑下，还可以作为大吞吐的消息队列来使用。

接下来，我们就来逐一的了解一下这些数据收集框架。

chukwa

chukwa 是Apache 开源的针对大规模分布式系统的日志收集和分析的项目， 它建立在hdfs以及mr框架的基础上，完全继承了Hadoop的扩展性和稳定性。chukwa还包括了一系列组件，用于监控数据，分析数据和数据可视化等。 架构图如下：

从架构图上可以看出， chukwa大致分为五个部分：

• Hadoop和HBase集群，用于chukwa处理数据
• 一个或多个agent进程， 将监控的数据发送到HBase集群。 启动有agent进程的节点被称作监控源节点
• Solr云集群，用于存储索引数据文件
• 数据分析脚本， 概括Hadoop集群的健康状况
• HICC， chukwa的可视化工具

由于依赖于mr去处理数据，所以chukwa效率注定不会太高，整个数据流在数据处理间断吞吐量急剧下降。 另外，chukwa设计时就没有将它定位为单纯的日志收集工具，而是囊括数据的分析处理， 数据可视化等功能的完整的数据分析框架， 在这样的设计思路下， 数据收集和数据分析俩大任务在优化目标上并不相同，甚至有可能相悖。所以优化效果并不明显。

与其如此，还不如专一的定位在数据收集领域，数据分析和处理等交给其他成熟的框架来实现， 如Hive、Impala等。 也出于这些原因，chukwa并没有被广泛的使用。

scribe

scribe 是Facebook开源的日志收集系统，在facebook内部被广泛使用。 scribe主要用于收集汇总日志流，易扩展，并且能够保证在网络和部分节点异常情况下的正常运行。 其架构图如下：

应用系统中每一台日志服务器都会部署scribe服务， scribe服务收集节点信息，并将数据发送到scribe中央服务， scribe中央服务是多组scribe服务集群。如果scribe中央服务不可用，本地的scribe服务就会将信息写到本地磁盘，当中央服务可用时重新发送。 scribe中央服务将数据写入到最终的目的地，典型的存储包括nfs或者dfs， 当然，也可以重新写到下一个scribe服务中。

scribe将客户端日志组织为类目和信息两个部分，以此来唯一确定一条消息。 类目用来描述信息预计的目标位置， 可以通过scribe server中配置来指定。 类目同样也支持前缀方式的配置， 默认可以在文件路径中插入类目名称。scribe在一些特定case下会丢失数据：

• 如果客户端的scribe既不能连接到本地文件系统，也不能连接到scribe中央服务器
• 如果客户端scribe服务崩溃， 会造成内存中的少量数据丢失，但磁盘数据不会丢失
• 多种情况并发，如重发服务无法连接到任何的中央服务器，而且本地磁盘已满
• 小概率的延迟导致的消息冲突

从架构图上可以看到，agent是作为thirft的客户端与scribe中央服务器通信的，这样做的好处显而易见， 我们可以采用多种编程语言来开发我们的数据收集客户端，具备较大的灵活性。但是依赖于thirft框架，其稳定性与吞吐量受到了thirft的制约， 同时引入消息队列， 整个收集框架略显承重。

flume

说起flume 大家并不陌生，flume是目前使用的比较广的日志收容工具。 先说说flume的历史，flume早期是由cloudera 开发设计的， 目前将其早期的版本称为flume-og。 随着大数据的发展，flume的 工程代码变得越来越臃肿， 再加上核心组件设计不合理、核心配置不标准等，造成flume的越来越不稳定。 2011年10月22号，cloudera 完成了Flume-728，对 Flume 进行了大刀阔斧的改造，随后被纳入Apache阵营，更名为Apache Flume，开启了flume-ng的时代。

我们首先来看一下flume-og是怎样的一个存在。

从架构图上我们可以了解到， flume-og 有三种角色的节点，代理节点（agent）、收集节点（collector）、主节点（master），agent 从各个数据源收集日志数据，将收集到的数据集中到 collector，然后由收集节点汇总存入 hdfs。master 负责管理 agent，collector 的活动。 仔细看，我们会返现， agent、collector 都由 source、sink 组成，代表在当前节点数据是从 source 传送到 sink， 这也就意味着，节点中没有专门的缓存数据的模块，节点之间的数据阻塞极易发生， 再加上，数据流经的缓解太多，必然会对吞吐造成影响。同时， 为了提高可用性， 引入zk来管理 agent, collector, master的配置信息，大大增加了使用和维护的成本。

改版后的flume-ng， 只保留了一种角色的节点，代理节点（agent）， 没有了collector和master节点，这是核心组件最核心的变化，大大简化了部署和维护的成本。 同时将节点由之前的source, sink升级到现在的source， channel， sink三部分，channel专门用于传输过程中数据的暂时缓存。

flume-ng不在依赖于zk，更加灵活，轻便。自带多种类型插件，可以从多种数据源中收集数据，将数据送入到指定的目标存储中， 借助自定义source，channel和sink，不断可以扩展数据收集的source，channel，sink类型，还可以实现除日志收集之外的其他功能。 不同类型的agent直接可以相互连接，形成Pipeline， 完成更加复杂的功能。 这也是flume-ng越来越流行的重要原因。

logstash

logstash 是基于实时数据管道能力的数据收集引擎， 它可以从不同的数据源整理数据，统一写入到你选择的目标存储中。 清洗和规范你的数据，方便下游分析和可视化使用。

从架构图看，logstash和flume-ng的设计思想很相似， flume-ng的agent由source,channel,sink三部分组成， 而logstash实例由input,filter和output三部分组成。 input同source一样，用于从数据源中收集数据。 filter和channel略有不同，filter是对input收集上来的数据做一定的处理后交给output。 默认的filter有 grok filter(用于结构化数据)， mutate filter（用于更改数据结构，如数据字段更名，移除，替换等），drop filter（彻底删除数据），clone filter(拷贝数据)， geoip filter(通过ip地址获取额外的信息)等。 output将filter处理后的数据送入的指定的存储或者下一个logstash的实例。

logstash同flume-ng一样，在实现日志收集功能的基础上，通过实现和更改logstash的input, filter, 和output插件， 可以将一些我们想要的功能，很方便的嵌入到数据收集的整个过程中， 加速我们对大量的多样话数据的感知能力。

大多数情况下， logstash作为elk套件的日志收集框架，实现实时日志分析时使用。

kafka

kafka 是Linkedin 2010开源的基于发布订阅模式分布式消息系统，之后加入Apache阵营，更名为Apache kafka。其架构如下：

整个系统由三部分节点组成：

• producer：产生指定topic的消息
• broker：在磁盘上存储维护各种topic的消息队列
• comsumer：订阅了某个topic的消费者从broker中拉取消息并进行处理

broker对topic的管理是基于顺序读写磁盘文件而实现的，在kafka内部，支持对topic进行数据分片(partition), 每个数据分片都是一个有序的， 不可更改的尾部追加消息队列。队列内每个消息都被分配一个在本数据分片的唯一ID，也叫offset， 消息生产者在产生消息时可以指定数据分片， 具体方法可以采用round robin 随机分配， 也可以根据一定的应用语义逻辑分配， 比如可以按照用户uid进行哈希分配，这样可以保证同一用户的数据会放入相同的队列中， 便于后续处理。 也正因为如此， kafka有着极高的吞吐量。 在kafka的基础上实现日志收容有着天然的优势：

• 方便实现：开发收集数据的producer和写数据的consumer即可， producer从日志服务器上收集日志，送入broker， consumer从broker拉取数据，写入到目标存储
• 高性能：天然的高吞吐，较强的可扩展性和高可用性， 消息传递低延迟

TT(Timetunel)

TT阿里开源的实时数据传输平台，基于thrift通讯框架实现，具有高性能、实时性、顺序性、高可靠性、高可用性、可扩展性等特点。

整个系统大概分四部分：client，router， zookeeper，broker

• client：用户访问timetunnel的接口，通过client用户可以向timetunnel发布消息，订阅消息。
• router：timetunnel的门户，提供安全认证、服务路由、负载均衡三个功能。router知道每个broker的工作状态，router总是向client返回正确的broker地址。
• zookeeper：timetunnel的状态同步模块，router就是通过zookeeper感知系统状态变化，例如增加/删除broker环、环节点的增删、环对应的topic增删、系统用户信息变化等。
• broker：timetunnel的核心，负责消息的存储转发。broker以环的形式组成成集群，可以通过配置告知router哪些数据应该被分配到那个集群，以便router正确路由。环里面的节点是有顺序的，每个节点的后续节点自己的备份节点，当节点故障时，可以从备份节点恢复因故障丢失的数据。

和kafka类似，TT自身也只是一个数据传输的工具，并没有日志采集的功能，但是在它的架构之上，我们很容易去构造一个高性能，大吞吐的数据收集工具。

如上图，tt实现的收容框架，大致分为三部分：

1. clientAgent：基于TTclientAPI 实现的日志收容客户端，被安装在日志服务器上，用于收集数据并将数据送入到消息通讯层；如TailFIle agent， 通过linux的notify机制，监控文件变化，将数据实时的送入消息通讯层
2. 消息通讯层：有client agent收集上来的数据，经过tt集群传输后，以一定的数据格式暂时存入底层HBase集群。 消息通讯层，还实现了发布订阅的消息机制， 通过TTclientAPI可以订阅消息通讯层的数据.
3. DeepStorage：通过订阅消息通讯层数据，通过不同的writer将数据写入到不同的存储中，用于接下来的分析处理

我相信大家现在对这几种框架有了初步的了解了，在开始自己的数据分析之旅前，请根据自己的业务需要，选择合适的收集框架。