日志分析(php+nosql+rsync+crontable)

时间:2024-11-02 12:05:31

是不是经常要分析用户的行为?是不是经常遇到多台server上传的日志一起分析?是不是对数据统计的间隔时间要求非常短?还有木有由于日志文件过大,而须要分块处理?

1、说明一点在日志写入的时候必须依照一种严格的格式,这样在做解析的时候,才好分割。比方 gameid:123  gameid:2333。分割统一标准即可。

2、在生成日志的文件名称的时候也要依照一定规则,在分析的时候,正則表達式好匹配,如 serverhostname_date.log  这样在匹配的时候 仅仅须要 glob(*—date.log); //glob 见php函数手冊,寻找与模式匹配的文件路径。

3、为什么要用nosql?事实上project师不是只局限于知道怎么实现,而是要多思考什么样的业务用什么样的工具来解决。非关系型数据非常适合这样的,日志中经常添�新的行为,你用key-value的方式,不须要日志新增了要分析的行为,你就得手动改变你程序的配置,这样我个人认为不是太好。~假如用mysql,你纵向设计数据库,

结构: id gameid count createtime

1   1001    3000  2013-03-23  12:22:21

2   1002   2222   2013-03-23  12:22:21

………………

这样设计的话那么不会由于新增gameid来改动数据表,这样有什么坏处?那就是每次插入数据非常多,假如30秒插入一次,一次插入30个游戏的统计值,那么一天的增量  2*30*60*24 = 86400 条数据,这样显然不合理。

那么横向设计,一次插入一条数据。

id gameid_1001 gameid_1002 gameid_1003 …… createtime

1  3000             2222             40000               2013-03-23 09:08:56

2  4000             1800             4000                2013-03-23 09:09:20

……

这种坏处是 每次新增了游戏ID 那么就得改变数据表结构,加字段,当然你牛逼点的能够所实用程序来实现,可是这样我认为不太好。

mongo中有这个内嵌文档,非常爽。推荐使用hadoop

存储结构例如以下

+{

"_id":3e3ess3sazxcdsdsfdf,

"createtime":"2013-03-23 09:13:02",

"data":{

"gameid_1001": 2000,

"gameid_1002": 3000,

……

}

}

一次仅仅插入一条数据,新增游戏类型不须要做不论什么改变,perfect~

4、为什么要用rsync?将多台server的日志同步到一个文件夹下,一起处理,比較方便。

5、须要用到的几个函数,glob, fopen,fget,isset,explode

程序最好不要写得非常死板,

批量读入日志文件

$sLogfileName = '/path/../*_date.log';

$aLogfileName = glop($sLogfileName); // 匹配要处理的日志文件,读入数组中。

……

fopen();

while() //用while循环,处理完文件里的一行数据再去文件里取,假设用foreach一次读入数组,内存会溢出。

{

……

}

……

$aCountResult = array();

$iNum = 100;

if(isset($aCountResult[$iGameId]))

$aCountResult[$iGameId] = (int)$aCountResult[$iGameId] + $iNum;

else

$aCountResult[$iGameId] = $iNum;

……

统计完插入。。

然后添�计划程序中,ok。。

主要还是不同的业务用不同的方法解决。

@update 2013-3-25 21:31:45

在日志分析中 \n 是一个非常重要的分割符,避免防止内存溢出,不要以 \n

EOF 作为分割符,同事要严格依照日志标准格式写入,这样在解析的时候比較好解析。用fgets方式获取,不能一次读入内存中。