问题根源 #

你写的正则表达式本身是没问题的，但在Scala代码里，Matcher对象初始化后并没有自动执行匹配操作。直接调用matcher.group(1)时，Matcher还处于未匹配状态，所以会抛出NoSuchElementException（提示no match found）。

单条日志测试的修复代码 #

先修改你的单条日志测试代码，添加匹配检查和异常处理，这样就能正常获取解析后的分组内容了：

package common
object loganalysis extends App {
 import common._
 import org.apache.spark.sql.functions._
 import java.util.regex.Pattern
 import java.util.regex.Matcher
 import scala.util.{Try, Success, Failure}

 val spSession = SparkCommonUtils.spSession
 val spContext = SparkCommonUtils.spContext
 import spSession.implicits._
 val sqlContext = new org.apache.spark.sql.SQLContext(spContext)

 val regex = """(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})? (\S+) (\S+) (\[.+?\]) \"(.*?)\" (\d{3}) (\S+) \"(.*?)\" \"(.*?)\""""
 val p = Pattern.compile(regex)
 val logLine = s"""94.102.63.11 - - [21/Jul/2009:02:48:13 -0700] "GET / HTTP/1.1" 200 18209 "http://acme.com/foo.php" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)""""

 val matcher = p.matcher(logLine)
 // 先执行匹配操作，再获取分组
 if (matcher.matches()) {
   // 逐个打印解析后的字符串
   println(s"IP地址: ${matcher.group(1)}")
   println(s"标识: ${matcher.group(2)}")
   println(s"认证用户: ${matcher.group(3)}")
   println(s"时间戳: ${matcher.group(4)}")
   println(s"请求行: ${matcher.group(5)}")
   println(s"状态码: ${matcher.group(6)}")
   println(s"响应大小: ${matcher.group(7)}")
   println(s"Referer: ${matcher.group(8)}")
   println(s"User-Agent: ${matcher.group(9)}")
 } else {
   println("这条日志无法匹配正则表达式")
 }

 // 也可以用Try来处理异常，更符合Scala风格
 Try {
   if (matcher.matches()) {
     (matcher.group(1), matcher.group(2), matcher.group(3), matcher.group(4),
      matcher.group(5), matcher.group(6), matcher.group(7), matcher.group(8), matcher.group(9))
   } else {
     throw new IllegalArgumentException("日志匹配失败")
   }
 } match {
   case Success(parsed) => println(s"解析结果: $parsed")
   case Failure(e) => println(s"解析出错: ${e.getMessage}")
 }
}

扩展到整个日志文件的通用处理 #

接下来，我们可以把这个逻辑封装成一个解析函数，然后用Spark来批量处理日志文件，同时处理匹配失败的行：

步骤1：定义日志解析的样例类 #

先定义一个样例类来存储解析后的日志字段，方便后续转换成DataFrame：

case class ApacheLog(
  ip: Option[String],
  identifier: String,
  authUser: String,
  timestamp: String,
  request: String,
  statusCode: String,
  responseSize: String,
  referer: Option[String],
  userAgent: Option[String]
)

步骤2：编写解析函数 #

编写一个函数，接收单条日志字符串，返回Try[ApacheLog]，这样可以捕获匹配失败的情况：

def parseLogLine(line: String): Try[ApacheLog] = {
  val regex = """(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})? (\S+) (\S+) (\[.+?\]) \"(.*?)\" (\d{3}) (\S+) \"(.*?)\" \"(.*?)\""""
  val p = Pattern.compile(regex)
  val matcher = p.matcher(line)

  Try {
    if (matcher.matches()) {
      ApacheLog(
        Option(matcher.group(1)), // IP可能为空，用Option包装
        matcher.group(2),
        matcher.group(3),
        matcher.group(4),
        matcher.group(5),
        matcher.group(6),
        matcher.group(7),
        Option(matcher.group(8)), // Referer可能为空
        Option(matcher.group(9))  // User-Agent可能为空
      )
    } else {
      throw new RuntimeException(s"无法匹配日志行: $line")
    }
  }
}

步骤3：批量处理日志文件并生成DataFrame #

现在可以读取日志文件，用map结合解析函数处理每一行，然后过滤出成功解析的记录，转换成DataFrame：

// 读取日志文件
val logLines = spSession.read.textFile("/path/to/your/apache/logs").rdd

// 解析每一行，分离成功和失败的记录
val parsedLogs = logLines.map(parseLogLine)
val successfulLogs = parsedLogs.collect { case Success(log) => log }
val failedLogs = parsedLogs.collect { case Failure(e) => e.getMessage }

// 将成功解析的日志转换成DataFrame
val logDF = successfulLogs.toDF()

// 查看DataFrame结构和数据
logDF.printSchema()
logDF.show(10, truncate = false)

// 可以将失败的日志保存到文件，方便后续排查
spContext.parallelize(failedLogs).saveAsTextFile("/path/to/failed/logs")

关键注意点 #

• 必须先调用matcher.matches()或者matcher.find()来执行匹配，再调用group()方法获取分组内容
• 用Option包装可能为空的字段（比如IP、Referer），符合Scala的空值处理规范
• 用Try来捕获解析过程中的异常，避免单个错误导致整个任务失败
• 批量处理时，分离成功和失败的记录，方便后续排查问题

内容的提问来源于stack exchange，提问作者maddy