云舟观测:Arkit数据解析插件详解
off999 2025-01-21 20:36 23 浏览 0 评论
1. 概述
在云舟观测产品中,Arkit作为统一监控Agent,是整个产品的基石,它支持采集多种操作系统(如Linux和Windows)上的系统指标和进程信息,同时还能读取多种数据源,包括原始文件、消息队列和网络数据等,并将这些数据发送到各种目标存储系统中。此外,Arkit提供了丰富的数据解析配置选项,能够灵活地满足不同场景下的数据解析需求。无论是简单的日志解析,还是复杂的结构化数据处理,Arkit都能轻松应对,确保数据的准确性和完整性,为后续的数据分析和监控提供了坚实的基础。
2. 数据采集与解析
Arkit目前支持包括文件在内的多种数据源,以及上百种监控指标的采集,同时内置了多种解析方式,支持在Arkit本地进行一些数据解析:通过在采集端进行的边缘计算,利用节点的算力对数据进行加工变换。这样一方面可以减少数据冗余,降低发送数据的网络及存储消耗;另一方面也是对数据进行不同形式的扩展和预处理,降低后续处理环节的复杂度——这一部分也是本文将要介绍的重点内容。最后,采集到的数据支持支持发送到多种目标端。
在数据采集模块读取到原始数据后,既可以将原始数据直接发送给数据目标,也可以配置数据解析模块,将采集到的数据进行各种处理。例如:
● 数据格式解析(CSV解析,JSON解析、Grok解析,Nginx日志解析)等
● 自定义插件解析:允许用户通过自定义插件的方式完成日志解析(插件下发并热更新使用,无需重启Arkit)
在自定义插件解析中,云舟观测提供了WEB端代码编辑器以及模板代码样例,用户可以使用golang开发自己的插件,并将插件代码提交到后台进行编译,通过后插件创建成功;然后可以使用“测试”功能,输入测试文本数据验证插件对数据的解析是否正确;在创建采集任务配置解析方式时,可以选择"自定义插件"类型,并使用之前创建成功的插件。
3. 插件功能
Arkit本身是用go语言开发的,因此的插件选型时也需要选择基于go语言的动态代码实现方案。go语言作为一门强类型、静态编译的语言,有着极佳的性能,但是也相应的缺少了一些灵活性。为了实现一些需要灵活处理的、插件类的业务需求,调研了golang插件开发的一些方案:
首先是嵌入一些相应的脚本引擎,分别可以动态执行lua、js和python等脚本语言,并获取执行结果继续使用。但是这类方案有个致命的缺点:代码执行效率远远低于原生go代码,在需要进行海量日志采集和处理的流程中,解析效率低,进而影响采集发送效率是个严重的问题。
其次是golang原生plugin功能,也是Arkit最终采用的方案,下面将会重点介绍。为了配合插件的使用,并为用户提供自行编写、修改、分发插件的入口,云舟观测和Arkit插件模块的大致架构如下图所示:
3.1 Plugin的起源
Go Plugin 机制是在 Go 1.8 版本引入的一项重要特性。它的设计目标是为 Go 程序提供一种动态加载代码的能力,使得程序可以在运行时动态扩展功能而无需重新编译整个程序。这个特性的诞生主要基于以下几个需求:
● 微服务架构下的动态扩展需求
● 插件化架构的实现需求
● 热更新/热部署的需求
● 第三方功能模块的动态集成需求
Go Plugin 机制为 Go 程序提供了高效的动态加载能力,其核心优势包括:零拷贝的内存映射设计、· 高效的符号解析机制、优化的类型检查系统、· 接近原生的调用性能。
3.2 第一个demo插件代码示例:
```go
// plugin-impl.go
package main
import "fmt"
func Hello() string {
return "Hello from golang plugin"
}
// 插件必须有 main 包和 main 函数
func main() {}
```
编译插件:
```bash
go build -buildmode=plugin -o plugin.so plugin-impl.go
```
使用插件:
```go
// main.go
package main
import (
"fmt"
"plugin"
)
func main() {
// 加载插件
p, err := plugin.Open("plugin.so")
if err != nil {
panic(err)
}
// 查找符号
symbol, err := p.Lookup("Hello")
if err != nil {
panic(err)
}
// 类型断言
hello := symbol.(func() string)
fmt.Println(hello())
}
```
3.3 内部实现机制
Go Plugin 的实现主要涉及以下几个关键部分:
1. 符号表管理
● 插件编译时会生成导出符号表
● 运行时通过符号表查找和解析函数/变量
● 使用 ELF(Linux)/Mach-O(macOS) 格式存储符号信息
2. 内存管理
● 插件代码被加载到独立的内存空间
● 通过内存映射实现代码共享
● 支持垃圾回收
3. 类型系统
● 插件和主程序必须使用相同的 Go 版本编译
● 类型信息在运行时进行匹配
● 保证类型安全
3.4 核心数据结构
```go
// plugin 包内部的关键结构
type Plugin struct {
pluginpath string // 插件文件路径
syms map[string]interface{} // 符号表
loaded bool // 是否已加载
}
// 动态链接信息
type _dl_info struct {
dli_fname *byte // 文件名
dli_fbase *byte // 基地址
dli_sname *byte // 符号名
dli_saddr *byte // 符号地址
}
```
3.5 Plugin的性能优势
Go Plugin 具有优异的性能,这得益于以下几个方面:
- 零拷贝设计:Plugin 使用内存映射技术,将插件代码直接映射到进程地址空间,这样做的好处是:避免了数据拷贝开销、减少了内存占用、提高了代码加载速度。
```go
// 简化的内存映射实现
func mmap(file *os.File, size int) ([]byte, error) {
return syscall.Mmap(
int(file.Fd()),
0,
size,
syscall.PROT_READ|syscall.PROT_EXEC,
syscall.MAP_SHARED,
)
}
```
2. 符号解析优化:Plugin 采用了高效的符号解析机制
● 延迟加载:只有在实际使用时才解析符号、避免了不必要的符号解析开销
● 符号缓存:已解析的符号会被缓存、重复使用时直接从缓存获取
● 哈希表实现:使用哈希表存储符号信息,查找复杂度为 O(1)
3. 类型校验优化:Plugin 的类型校验也做了性能优化,优化措施包括:类型信息缓存、延迟检查、批量验证。
```go
// 类型信息缓存
var typeCache = sync.Map{}
func lookupType(name string) (reflect.Type, bool) {
if t, ok := typeCache.Load(name); ok {
return t.(reflect.Type), true
}
return nil, false
}
```
4. 性能测试数据:以下是一个简单的性能测试对比,可以看到:Plugin 调用的性能损耗仅比直接调用多 26%。
```go
func BenchmarkPluginCall(b *testing.B) {
p, _ := plugin.Open("plugin.so")
fn, _ := p.Lookup("Hello")
hello := fn.(func() string)
b.ResetTimer()
for i := 0; i < b.N; i++ {
hello()
}
}
func BenchmarkDirectCall(b *testing.B) {
for i := 0; i < b.N; i++ {
Hello()
}
}
```
```shell
BenchmarkPluginCall-8 10000000 158 ns/op
BenchmarkDirectCall-8 10000000 125 ns/op
```
4. Arkit自定义插件实践
如果内置插件不能满足数据的解析需求,云舟观测还提供了自定义插件,用户可以使用go编写插件,实现灵活的数据解析和转换需求。
● 接口定义:
```go
type PluginParser interface {
Parse(string, map[string]string) map[string]interface{}
}
type pluginImp struct{}
var Plugin pluginImp
```
● Parse方法:用户可以自行实现Parse方法对原始数据进行解析。Parse方法的输入为单行原始数据,输出支持两种类型:单行处理后的日志 以及 处理后的json格式(KV)数据。
示例1:输出单行日志——向日志行中添加主机名称
```go
package main //请勿修改
//请勿使用golang SDK之外的package
import (
"os"
)
//=====customization area begin, be my guest.
var hostname string
func getHostname() string {
hostname, err := os.Hostname()
if err != nil {
hostname = "unknown"
}
return hostname
}
/*
解析器插件必须实现下面的方法
输入:
line: 单行日志数据(不会为空)
params: 使用插件时传入的参数,KV均为string(若使用插件时没有传入参数,可能为空)
输出: string(处理后的文本数据)
*/
func parse2String(line string, params map[string]string) string { //请勿修改本方法签名(方法名,输入参数类型,输出参数类型)
//=====查询使用params参数 begin,例如:是否存在名为paramXKey的参数
//if paramXValue, ok := params["paramXKey"]; ok {
//若查询到,则可以自行使用该参数的值:paramXValue
//}
//=====查询使用params参数 end
if hostname == "" {
hostname = getHostname()
}
return hostname + " " + line
}
//=====customization area end, sayonara.
```
示例2:输出json格式(KV)数据——解析nginx原始日志中的所有字段:
```go
package main //请勿修改
//请勿使用golang SDK之外的package
import (
"regexp"
"strings"
)
//=====custom area begin, be my guest.
var regex = regexp.MustCompile(`^"([^"]*)"\s+(\d+)\s+(\d+)\s+"([^"]*)"\s+"([^"]*)"\s+"([^"]*)"\s+([\d]*)\s+([\d.]*)\s+([0-9|.|:]*)\s+([\d]+)\s+([\d.]*)云舟观测:Arkit数据解析插件详解 - 今日头条 )
//日志格式
//上半部分:$remote_addr - $remote_user [$time_local]
//下半部分:"$request" $status $body_bytes_sent "$http_host" "$http_referer" "$http_user_agent" $request_length $request_time $upstream_addr $upstream_response_time
/*
解析器插件必须实现下面的方法
输入:
line: 单行日志数据(不会为空)
params: 使用插件时传入的参数,KV均为string(若使用插件时没有传入参数,可能为空)
输出: map对象(处理后的JSON数据)
*/
func parse2JSON(line string, params map[string]string) map[string]interface{} { //请勿修改本方法签名(方法名,输入参数类型,输出参数类型)
results := make(map[string]interface{}, 1)
halfArr := strings.Split(line, "] ")
if len(halfArr) != 2 {
results["raw"] = line
return results
}
arr1 := strings.Fields(halfArr[0])
if len(arr1) != 5 {
results["raw"] = line
return results
}
results["remote_addr"] = arr1[0]
results["remote_user"] = arr1[2]
results["time_local"] = strings.ReplaceAll(arr1[3], "[", "") + " " + arr1[4]
d := regex.FindStringSubmatch(halfArr[1])
if len(d) != 12 {
results["raw"] = halfArr[1]
return results
}
results["request"] = d[1]
results["status"] = d[2]
results["body_bytes_sent"] = d[3]
results["http_host"] = d[4]
results["http_referer"] = d[5]
results["http_user_agent"] = d[6]
results["request_length"] = d[7]
results["request_time"] = d[8]
results["upstream_addr"] = d[9]
results["upstream_status"] = d[10]
results["upstream_response_time"] = d[11]
return results
}
//=====custom area end, sayonara.
```5. 局限性
尽管 Go Plugin 性能优异,但也存在一些限制:
- 平台限制:实现基于操作系统的动态链接库机制。目前仅支持 Linux,不支持 Windows
- 版本依赖:插件和主程序必须使用相同的 Go 版本;依赖的三方库版本需要一致
- 调试复杂性:插件代码调试相对困难;错误追踪不够直观
关于云舟观测
云舟观测是由360智汇云推出的一款一站式数据采集与监控观测产品,可以对基础设施、应用性能,以及云原生下业务指标和日志进行全面的监控和观测,构建全链路的可观测性服务,帮助用户及时发现和解决系统及应用性能问题,提高系统的稳定性和可靠性。
更多技术和产品文章,请关注
如果您对哪个产品感兴趣,欢迎留言给我们,我们会定向邀文~
360智汇云是以"汇聚数据价值,助力智能未来"为目标的企业应用开放服务平台,融合360丰富的产品、技术力量,为客户提供平台服务。目前,智汇云提供数据库、中间件、存储、大数据、人工智能、计算、网络、视联物联与通信等多种产品服务以及一站式解决方案,助力客户降本增效,累计服务业务1000+。智汇云致力于为各行各业的业务及应用提供强有力的产品、技术服务,帮助企业和业务实现更大的商业价值搜索“360智汇云”
- 上一篇:Linux 下用 awk 分析日志文件实例
- 下一篇:405状态码Nginx解决办法
相关推荐
- 让 Python 代码飙升330倍:从入门到精通的四种性能优化实践
-
花下猫语:性能优化是每个程序员的必修课,但你是否想过,除了更换算法,还有哪些“大招”?这篇文章堪称典范,它将一个普通的函数,通过四套组合拳,硬生生把性能提升了330倍!作者不仅展示了“术”,更传授...
- 7 段不到 50 行的 Python 脚本,解决 7 个真实麻烦:代码、场景与可复制
-
“本文整理自开发者AbdurRahman在Stackademic的真实记录,所有代码均经过最小化删减,确保在50行内即可运行。每段脚本都对应一个日常场景,拿来即用,无需额外依赖。一、在朋...
- Python3.14:终于摆脱了GIL的限制
-
前言Python中最遭人诟病的设计之一就是GIL。GIL(全局解释器锁)是CPython的一个互斥锁,确保任何时刻只有一个线程可以执行Python字节码,这样可以避免多个线程同时操作内部数据结...
- Python Web开发实战:3小时从零搭建个人博客
-
一、为什么选Python做Web开发?Python在Web领域的优势很突出:o开发快:Django、Flask这些框架把常用功能都封装好了,不用重复写代码,能快速把想法变成能用的产品o需求多:行业...
- 图解Python编程:从入门到精通系列教程(附全套速查表)
-
引言本系列教程展开讲解Python编程语言,Python是一门开源免费、通用型的脚本编程语言,它上手简单,功能强大,它也是互联网最热门的编程语言之一。Python生态丰富,库(模块)极其丰富,这使...
- Python 并发编程实战:从基础到实战应用
-
并发编程是提升Python程序效率的关键技能,尤其在处理多任务场景时作用显著。本文将系统介绍Python中主流的并发实现方式,帮助你根据场景选择最优方案。一、多线程编程(threading)核...
- 吴恩达亲自授课,适合初学者的Python编程课程上线
-
吴恩达教授开新课了,还是亲自授课!今天,人工智能著名学者、斯坦福大学教授吴恩达在社交平台X上发帖介绍了一门新课程——AIPythonforBeginners,旨在从头开始讲授Python...
- Python GUI 编程:tkinter 初学者入门指南——Ttk 小部件
-
在本文中,将介绍Tkinter.ttk主题小部件,是常规Tkinter小部件的升级版本。Tkinter有两种小部件:经典小部件、主题小部件。Tkinter于1991年推出了经典小部件,...
- Python turtle模块编程实践教程
-
一、模块概述与核心概念1.1turtle模块简介定义:turtle是Python标准库中的2D绘图模块,基于Logo语言的海龟绘图理念实现。核心原理:坐标系系统:原点(0,0)位于画布中心X轴:向右...
- Python 中的asyncio 编程入门示例-1
-
Python的asyncio库是用于编写并发代码的,它使用async/await语法。它为编写异步程序提供了基础,通过非阻塞调用高效处理I/O密集型操作,适用于涉及网络连接、文件I/O...
- 30天学会Python,开启编程新世界
-
在当今这个数字化无处不在的时代,Python凭借其精炼的语法架构、卓越的性能以及多元化的应用领域,稳坐编程语言排行榜的前列。无论是投身于数据分析、人工智能的探索,还是Web开发的构建,亦或是自动化办公...
- Python基础知识(IO编程)
-
1.文件读写读写文件是Python语言最常见的IO操作。通过数据盘读写文件的功能都是由操作系统提供的,读写文件就是请求操作系统打开一个文件对象(通常称为文件描述符),然后,通过操作系统提供的接口从这个...
- Python零基础到精通,这8个入门技巧让你少走弯路,7天速通编程!
-
Python学习就像玩积木,从最基础的块开始,一步步搭建出复杂的作品。我记得刚开始学Python时也是一头雾水,走了不少弯路。现在回头看,其实掌握几个核心概念,就能快速入门这门编程语言。来聊聊怎么用最...
- 一文带你了解Python Socket 编程
-
大家好,我是皮皮。前言Socket又称为套接字,它是所有网络通信的基础。网络通信其实就是进程间的通信,Socket主要是使用IP地址,协议,端口号来标识一个进程。端口号的范围为0~65535(用户端口...
- Python-面向对象编程入门
-
面向对象编程是一种非常流行的编程范式(programmingparadigm),所谓编程范式就是程序设计的方法论,简单的说就是程序员对程序的认知和理解以及他们编写代码的方式。类和对象面向对象编程:把...
你 发表评论:
欢迎- 一周热门
- 最近发表
- 标签列表
-
- python计时 (73)
- python安装路径 (56)
- python类型转换 (93)
- python进度条 (67)
- python吧 (67)
- python的for循环 (65)
- python格式化字符串 (61)
- python静态方法 (57)
- python列表切片 (59)
- python面向对象编程 (60)
- python 代码加密 (65)
- python串口编程 (77)
- python封装 (57)
- python写入txt (66)
- python读取文件夹下所有文件 (59)
- python操作mysql数据库 (66)
- python获取列表的长度 (64)
- python接口 (63)
- python调用函数 (57)
- python多态 (60)
- python匿名函数 (59)
- python打印九九乘法表 (65)
- python赋值 (62)
- python异常 (69)
- python元祖 (57)