Apache Flink CEP: Complex Event Processing Rehberi 2026

Apache Flink CEP (Complex Event Processing), milisaniye ölçekli pencerede gelen olay akışları içinde belirli desenleri (pattern) tanımlayıp tetikleyen bir kütüphanedir; finansal dolandırıcılık tespiti, IoT anomaly detection ve gerçek zamanlı operasyonel uyarı gibi senaryolarda 50-200 ms uçtan uca gecikme ile karar üretmek için kullanılır. Flink’in DataStream API üzerine kurulu olan CEP modülü, “A olayını B olayı 30 saniye içinde takip ediyorsa ve C olayı bu pencerede gerçekleşmemişse” gibi NFA (non-deterministic finite automaton) tabanlı kompozit kuralları tek bir paralel job içinde yüksek throughput’ta çalıştırır. Bu yazı Apache Flink CEP’in pattern API’sini, performans karakteristiğini, Kafka ile entegrasyonunu, alternatiflerle karşılaştırmasını ve üretim senaryolarındaki tipik tuzakları somut rakamlarla ele alıyor.

Flink 1.18, 1.19 ve 2.0 sürümlerinde CEP modülüne event time ve dynamic pattern injection iyileştirmeleri eklendi. Apache Flink GitHub deposu 23 binin üzerinde star ile büyük bir ekosisteme sahip; Alibaba, Uber, Netflix ve ING Bank gibi üretim kullanıcıları var. Yazıda CEP’i Kafka Streams, ksqlDB ve Spark Structured Streaming alternatifleriyle karşılaştıracak; pattern grammar, late event handling, state backend ve operatör paralelliği konularını üretim perspektifinden ele alacağız.

Complex Event Processing Nedir, Flink CEP Neden Farklı

Complex Event Processing, tekil olayları (simple events) birleştirip iş açısından anlamlı kompozit olaylar üreten paradigmadır. David Luckham’ın 2002 çalışmasıyla popülerleşti; ilk üretim uygulamaları Esper, TIBCO StreamBase, Oracle CEP gibi monolitik motorlarla 2005-2012 arasında yapıldı. Modern dağıtık dünyada CEP, stream processing framework’lerinin içine kütüphane olarak gömüldü.

Flink CEP’in farkı, pattern dilini NFA üzerine kurmasıdır. Her pattern `begin().where().followedBy().within()` fluent builder ile tanımlanır ve runtime bunu paralel operator’lere derler. İçinde quantifier (`oneOrMore`, `times(2,4)`), contiguity (`strict`, `relaxed`, `non-deterministic relaxed`) ve negation (`notFollowedBy`) gibi düzenli ifade benzeri operatörler vardır. “Kullanıcı 5 dakika içinde 3 başarısız login denediyse ama bu pencerede başarılı login yoksa fraud_alert yay” gibi karmaşık iş kurallarını 20-30 satır kodla ifade etmek mümkün hale gelir.

CEP yaklaşımları karşılaştırması:

Yaklaşım	API stili	Pattern grammar	State backend	Tipik latency	Throughput
Flink CEP	Fluent Pattern API (Java/Scala)	NFA, quantifier, contiguity, negation	RocksDB / heap	50-200 ms p99	500K-2M event/s/node
Kafka Streams	DSL + Processor API	Manuel state machine	RocksDB (embedded)	20-100 ms p99	100K-500K event/s/instance
ksqlDB	SQL benzeri	JOIN + WINDOW; pattern kısıtlı	RocksDB	50-300 ms p99	50K-200K event/s
Spark Structured Streaming	DataFrame + state func	flatMapGroupsWithState	HDFS / RocksDB	500 ms – 5 s (micro-batch)	200K-1M event/s/node
Esper (legacy)	EPL (SQL-like)	NFA + EPL dili	JVM heap	1-10 ms (single node)	100K event/s/node

Tabloda dikkat çeken nokta: Esper tek node’da Flink’ten daha düşük latency üretir çünkü dağıtık koordinasyon yoktur. Ama 100K event/s sınırını aştığınızda Esper yatayda ölçeklenmez. Flink CEP, ölçeklenebilirlik için latency’den 30-50 ms feda etmiş bir tasarımdır ve bu trade-off büyük ölçekli fraud detection senaryolarında kabul edilebilir.

Pattern API: begin, followedBy, within ve Quantifier’lar

Flink CEP’in temel yapı taşı `Pattern` sınıfıdır. Tipik bir pattern üç parçadan oluşur: başlangıç (`begin`), ara koşul(lar) (`next`, `followedBy`, `followedByAny`), zaman penceresi (`within`).

Operatör	Davranış	Contiguity	Tipik kullanım
begin(name)	Pattern başlangıcı, ilk koşulu tanımlar	—	Her pattern’in zorunlu kök node’u
next(name)	Hemen ardışık olay; aradaki herhangi bir olay pattern’i bozar	strict	“A hemen ardından B” senaryosu
followedBy(name)	İkisi arasında başka olaylar olabilir, ancak ardı sıra eşleşme aranır	relaxed	Fraud detection, mantıksal akış
followedByAny(name)	Aynı pattern içinde çoklu permutasyon eşleşmesi	non-deterministic relaxed	Tüm olası yolları üret (alarm fan-out)
notFollowedBy(name)	Belirtilen olay pencere içinde olmamalı	—	“X yokken Y olduysa” negasyonu
oneOrMore() / times(n,m)	Quantifier; aynı koşulu N kez tekrarla	—	“3-5 başarısız login” gibi sayım
within(Time.minutes(5))	Tüm pattern’in zaman penceresi	—	Pattern timeout, state cleanup
greedy() / optional()	Quantifier davranışı modifiyesi	—	En uzun eşleşme veya esnek pattern

Contiguity seçimi match sayısını doğrudan etkiler. `non-deterministic relaxed` modunda 1000 olaylı bir pencerede aynı pattern’in yüzlerce farklı eşleşmesi üretilebilir; bu state ve CPU yüküne neden olur. Üretimde `followedBy` (relaxed) varsayılan tercih olmalı, `followedByAny` sadece ihtiyaç netse kullanılmalı.

Tipik üretim hatalarını sırala:

1. Sebep: `within()` tanımlanmadı. Sonuç: Partial match state sonsuza kadar büyür, RocksDB diski şişer. Çözüm: Her pattern’e gerçek iş ihtiyacına uygun (genelde 1-30 dakika) `within` ekle.
2. Sebep: `followedByAny` agresif kullanımı. Sonuç: NFA state combinatorial patlama; CPU %200-400 artış. Çözüm: İhtiyaç yoksa `followedBy` kullan, gerekirse `IterativeCondition` ile pattern’i daraltır filtrele.
3. Sebep: Event time yerine processing time. Sonuç: Out-of-order eventlerde yanlış pattern match veya kaçırılmış match. Çözüm: `assignTimestampsAndWatermarks` ile event time semantiği kullan, watermark stratejisi belirle.
4. Sebep: Yüksek key kardinalitesi (örn. user_id) ile keyBy. Sonuç: RocksDB state explosion; checkpoint süresi 5-10 dakika. Çözüm: State TTL ve `within` ile aktif key sayısını sınırla.
5. Sebep: Pattern dilinde negation’ı `notFollowedBy` yerine custom filter ile ifade. Sonuç: Pattern okunamaz hale gelir, test edilemez. Çözüm: CEP dilinin sunduğu negasyon operatörlerini kullan.

Event Time, Watermark ve Late Event Yönetimi

Flink CEP’in en zorlayıcı kısmı event time ile çalışmaktır. Olaylar çoğunlukla sırasız (out-of-order) gelir: mobil cihaz 30 saniye geç gönderebilir, Kafka partition’ları arası sırasız konsume edilir, upstream microservice retry yapabilir. Flink, watermark mekanizmasıyla “şu zaman damgasından eski olaylar artık beklemiyorum” sinyali üretir; CEP operatörü matching’i bu sinyalden sonra tetikler.

Watermark stratejisi doğruluğu doğrudan etkiler. `WatermarkStrategy.forBoundedOutOfOrderness(Duration.ofSeconds(5))` en yaygın strateji; süreyi artırmak doğruluğu artırır ama latency’yi de eşit miktarda artırır. Fraud detection için 2-10 saniye, IoT telemetry için 30-60 saniye yaygın.

Watermark stratejisi	Out-of-orderness toleransı	Latency etkisi	Tipik senaryo
forMonotonousTimestamps()	0 (sırasız olay yasak)	Yok	Single producer, garantili sıralı kaynak
forBoundedOutOfOrderness(2s)	2 saniye	+2 saniye p99	Düşük latency fraud detection
forBoundedOutOfOrderness(10s)	10 saniye	+10 saniye p99	Çoklu kaynak agregasyon
forBoundedOutOfOrderness(60s)	1 dakika	+60 saniye p99	IoT sensor, mobil cihaz
Custom (punctuated)	Olay başlı tanımlı	Değişken	Heartbeat tabanlı kaynaklar

Late event handling için Flink CEP `sideOutputLateData(OutputTag)` API’si sunar. Watermark sonrası gelen olaylar pattern matching’e dahil edilmez ama side output stream’e yönlendirilir; ayrı job ile audit veya batch reconciliation’a alınabilir. Uyumluluk gereksinimli sistemlerde “%99.5 doğruluk yeter ama %0.5 late event’i kaybetme” senaryosu için değerli.

Stream işleme mimarisinin temellerini detaylı ele aldığımız stream processing rehberi watermark, event time ve checkpoint konularını CEP harici de inceliyor; Flink’i Kafka ve Spark ile karşılaştırarak hangi senaryoda hangi framework’ün seçileceğini tartışıyor.

State Backend Seçimi: Heap, RocksDB ve Checkpoint Stratejisi

Flink CEP, partial match’leri state olarak tutar. State boyutu pattern karmaşıklığı, key kardinalitesi ve `within` penceresinin uzunluğuyla doğru orantılıdır. Üretimde bir CEP job state’i 10 GB’tan 5 TB’a kadar uzanabilir; backend seçimi performansı belirler.

State backend	Veri yeri	Max state	Read latency	Checkpoint süresi	Uygun senaryo
HashMapStateBackend (heap)	JVM heap	10-50 GB (heap’e bağlı)	Mikrosaniye	1-30 saniye	Düşük latency, küçük state
EmbeddedRocksDBStateBackend	Yerel SSD + heap cache	1-10 TB	1-10 ms	30-300 saniye	Büyük state, uzun pencere
RocksDB + incremental CP	SSD + S3/HDFS incremental	10+ TB	1-10 ms	5-60 saniye (incremental)	Çok büyük state, sık checkpoint

RocksDB state backend, Flink 1.13’ten itibaren incremental checkpoint destekliyor: tam state yerine son checkpoint’ten beri değişen SST file’lar S3/HDFS’e yüklenir. Bu, 1 TB’lık bir job için checkpoint süresini 5 dakikadan 30 saniyeye düşürebilir. Alibaba’nın üretimde 10 TB üzeri CEP state’i bu yaklaşımla yönettiği belirtiliyor.

Checkpoint tuning rehberi:

• Aralık (interval): 30 saniye – 5 dakika. Çok sık = throughput düşer, çok seyrek = recovery time uzar. Ne zaman seç: 1 dakika genelde sweet spot.
• Mod: EXACTLY_ONCE (default) vs AT_LEAST_ONCE. Avantaj: EXACTLY_ONCE finansal işlemler için zorunlu. Dezavantaj: 2-3x state senkronizasyon maliyeti.
• Timeout: Genelde interval’in 5-10 katı. Dikkat: Backpressure’da checkpoint zaman aşımı = job fail.
• Unaligned checkpoint: Flink 1.11+ özelliği; backpressure altında bile checkpoint tamamlar. Avantaj: Latency spike azalır. Dezavantaj: Daha fazla disk I/O.
• State TTL: Kullanılmayan key’leri otomatik temizler. Ne zaman seç: Yüksek kardinaliteli key (user_id, device_id) ile çalışıyorsan zorunlu.

Üretim Senaryoları: Fraud Detection, IoT ve SLA Monitoring

Flink CEP’in en olgun üretim alanı finansal dolandırıcılık tespitidir. ING Bank’ın Flink Forward sunumuna göre kart işlemleri üzerinde çalışan CEP job’u günde 800 milyon olay işliyor; p99 latency 120 ms ve şüpheli pattern’leri 30 saniyelik pencerede tespit ediyor. Örnek: “Aynı kart 5 dakika içinde 500 km’den uzak iki noktada kullanıldı.”

IoT senaryolarında CEP, sensor verisindeki anomaly’leri tespit eder. Predictive maintenance örneği: “Motor sıcaklığı 10 dk içinde 70°C üstüne çıktı, titreşim 2 kat arttı, 5 dk içinde normale dönmedi → bakım uyarısı.” Üç koşulun ardışıklığı CEP ile 20 satırda yazılır.

SLA monitoring üçüncü olgun kullanımdır. HTTP trace’inde “p99 latency > 500 ms” pattern’i 1 dakikalık tumbling window’da hesaplanır; 3 pencere üst üste ihlal ederse alarm tetiklenir. Basit metric tabanlı alerting’in aksine pattern continuity’sini içerir ve flapping alarm’ları engeller.

Senaryo	Tipik throughput	p99 latency	Pattern karmaşıklığı	State boyutu
Kart fraud detection	50K-500K tx/s	100-300 ms	Yüksek (5-10 koşul)	200 GB – 2 TB
IoT predictive maintenance	100K-1M sensor/s	500 ms – 2 s	Orta (3-5 koşul)	500 GB – 5 TB
SLA / observability alerting	10K-100K span/s	50-200 ms	Düşük (1-3 koşul)	10-100 GB
Adtech bid auction	500K-2M bid/s	10-50 ms	Düşük (2-4 koşul)	50-500 GB
Online gaming anti-cheat	200K-1M event/s	100-500 ms	Yüksek (6-12 koşul)	100 GB – 1 TB

Kafka Entegrasyonu, Pattern Deployment ve CI/CD

Üretimde Flink CEP nadiren tek başınadır; tipik mimari Kafka → Flink CEP → Kafka (alert topic) + Cassandra/Redis (lookup state). Flink Kafka connector resmi destekli; `FlinkKafkaConsumer` Flink 1.14’te `KafkaSource` API’sine geçirildi. KafkaSource partition discovery, dynamic topic assignment ve transactional commit içeriyor.

Kafka topic partition sayısı Flink paralelliğini etkiler. Genel kural: CEP operatör paralelliği Kafka source partition sayısına eşit veya daha az olmalı. 48 partition’lı topic için 48 paralellik mantıklı; 96 yaparsanız yarısı boşta kalır. CEP job’ları için 24-96 partition tipik aralık. Spark ve Kafka pipeline rehberi partition tuning ve consumer group koordinasyonunu detaylı ele alır.

Pattern deployment’ı CI/CD’ye almak Flink’in eksik bırakıldığı bir alandır. Üç ana yaklaşım:

• Static deploy: Pattern Java/Scala kodunda tanımlı, her değişiklik yeni JAR build + Flink job restart. Avantaj: Type safety, kolay test. Dezavantaj: Pattern değişikliği 5-15 dakika downtime gerektirir.
• Dynamic pattern (Flink 1.16+): Pattern serialize edilip Kafka control topic üzerinden gönderilir, çalışan job pattern’i sıcak güncelleyebilir. Avantaj: Sıfır downtime. Dezavantaj: Compile-time type safety yok, runtime hata riski.
• External rule engine: Drools/OPA dış sistem; Flink sadece olay forward eder. Avantaj: İş kullanıcıları kuralları UI’dan değiştirir. Dezavantaj: Network roundtrip latency +20-50 ms eklenir.
• Hybrid (önerilen): Static skelet + dynamic threshold parameters. Avantaj: Stabil pattern, ayarlanabilir eşik. Dezavantaj: Yeni pattern eklemek hala static deploy.

Test stratejisinde MiniClusterWithClientResource (JUnit) yerel testler için yeterli; entegrasyon testlerinde Testcontainers + Kafka container yaygın. Pattern unit test’lerinde event time’ı manuel ileri sarmak (`testHarness.processWatermark(timestamp)`) en kritik teknik; aksi halde testler wall clock’a bağımlı ve flaky olur.

Performans Benchmark’ları ve Operasyonel Maliyet

Yahoo Streaming Benchmark, RisingWave Labs 2024 raporu ve Confluent 2024 karşılaştırmalarına göre Flink CEP kapasitesi node başına 500K-2M event/s aralığında değişir. Performans pattern karmaşıklığına çok bağlı; basit `A → B` pattern’i 2M event/s sürdürürken, `A → B → C → D within 10 min` pattern’i aynı donanımda 200K event/s’e düşebilir.

Cloud yönetilen Flink seçenekleri: AWS Kinesis Data Analytics, Azure HDInsight Flink, GCP Dataproc Flink, Ververica Platform, Confluent Cloud Flink. Maliyet Kafka + Flink compute + state storage olarak üçe ayrılır. Aşağıdaki tablo 1M event/s sürekli yükte tipik aylık compute maliyeti (network ve storage hariç).

Platform	Tipik node tipi	Node sayısı (1M e/s)	Aylık compute maliyeti	Notlar
Self-managed (k8s, EC2 c6i.4xlarge)	16 vCPU / 32 GB	4-6 node	~3,500-5,500 USD	Operasyon yükü yüksek; uzman ekip gerek
AWS Kinesis Data Analytics	KPU (1 vCPU + 4 GB)	40-60 KPU	~4,000-6,000 USD	Tam yönetilen; pattern güncellemesi 2-5 dk
Azure HDInsight Flink	D14_v2	4-6 worker + 2 head	~4,500-6,500 USD	Klasik HDInsight; on-call az
Ververica Platform	Vendor-managed Kubernetes	4-6 node	~5,500-8,000 USD	Premium support, dynamic table store
Confluent Cloud Flink (preview)	CFU (Confluent Flink Unit)	20-30 CFU	~4,500-7,000 USD	Kafka native entegrasyon, SQL odaklı

Rakamlar 2024-2025 vendor list price’larından çıkarılmış yaklaşık değerlerdir; enterprise commit kontratlarıyla %30-50 düşebilir. Görünmeyen maliyet ekip uzmanlığı: Flink CEP’i üretimde sürdürebilen mühendis (state tuning, pattern profiling, checkpoint debug) Türkiye’de nadir profil ve maaş bandı normal data engineer’dan %25-40 yüksek.

Pattern profiling için Flink WebUI’da subtask başına metric’ler (numRecordsIn, state size) izlenir; Prometheus + Grafana entegrasyonu standart. `RocksDB_estimate-num-keys` metric’i state büyümesinin erken uyarısını verir. Ömer Önal’ın bir e-ticaret danışmanlık projesinde TTL ihmali nedeniyle 6 ayda 2 TB’a ulaşan CEP state’i, TTL eklenmesi sonrası 200 GB’a indi ve checkpoint süresi 4 dakikadan 35 saniyeye düştü.

Alternatifler: Kafka Streams, ksqlDB ve SQL-Based CEP

Flink CEP tek çözüm değil. Kafka Streams DSL, 1-3 koşullu basit pattern’ler için yeterli ve embedded RocksDB ile düşük latency sunar; dezavantajı pattern dilini manuel state machine olarak kurmaktır. ksqlDB SQL benzeri syntax’la window join yapabilir ama NFA tabanlı gerçek pattern matching desteği sınırlı.

SQL-based CEP yükselen bir yaklaşım. Apache Flink 1.13+ MATCH_RECOGNIZE SQL operatörünü destekliyor; bu SQL:2016 standardına eklenen pattern matching syntax’ıdır. Örnek query:

SELECT * FROM Transactions
MATCH_RECOGNIZE (
  PARTITION BY user_id
  ORDER BY event_time
  MEASURES A.amount AS first_amt, C.amount AS last_amt
  PATTERN (A B+ C)
  DEFINE
    A AS A.type = 'login',
    B AS B.type = 'failed_login',
    C AS C.type = 'login_success'
) MR;

MATCH_RECOGNIZE iş kullanıcıları için Java API’sinden çok daha erişilebilir, ama dynamic pattern injection ve karmaşık iterative condition’larda Java/Scala API kadar esnek değil. 2026 itibarıyla hibrit yaklaşım yaygın: basit pattern’ler SQL, karmaşık pattern’ler programmatic API.

Veri mimarisinde Flink CEP’in yerini görmek için context faydalı: real-time OLAP için Druid, Pinot, Trino karşılaştırması ve batch + stream birleşik storage katmanı için data lakehouse mimarisi tamamlayıcı kaynaklar.

Framework seçim kararı:

• Kafka Streams seç: Pattern basit (1-3 koşul), Kafka zaten merkez sistem, Java ekibi var, latency <50 ms zorunlu. Sınır: 500K event/s/instance, manuel state machine sürdürme yükü.
• ksqlDB seç: SQL ekibi, basit window join, prototip hızı önemli. Sınır: Karmaşık negation/quantifier desteği sınırlı.
• Flink CEP (Java API) seç: NFA tabanlı karmaşık pattern (5+ koşul, negation, quantifier), 100K+ event/s, dynamic pattern injection ihtiyacı.
• Flink MATCH_RECOGNIZE seç: SQL ekibi var, karmaşık pattern var ama dinamik değişim sık değil.
• Spark Structured Streaming + flatMapGroupsWithState seç: Spark ekosistemi merkezi, micro-batch latency (500 ms – 5 s) yeterli, batch + stream unified kod tabanı önemli.

Sık Sorulan Sorular (SSS)

Sonuç

Apache Flink CEP, NFA tabanlı pattern matching’i dağıtık ölçekte sunan az sayıda olgun çözümden biridir. 50-200 ms p99 latency, 500K-2M event/s/node throughput ve incremental checkpoint ile çok TB’lık state desteği; fraud detection, IoT predictive maintenance ve SLA monitoring senaryolarında onu varsayılan tercih haline getiriyor. 1.18-2.0 sürümleriyle gelen dynamic pattern injection ve MATCH_RECOGNIZE SQL, framework’ün gelişen bir araç olduğunu gösteriyor.

Karar çerçevesi şudur: pattern karmaşıklığı, event volume, state boyutu beklentisi ve ekip uzmanlığı. Basit pattern + düşük volume için Kafka Streams veya ksqlDB ekonomik; karmaşık pattern + yüksek volume + büyük state için Flink CEP baskın seçenek. SQL ekibi ağırlıklıysa MATCH_RECOGNIZE köprü kuruyor.

Pattern dili, state tuning, watermark stratejisi ve CI/CD entegrasyonunda profesyonel rehberlik için iletişim sayfasından mevcut stream processing altyapınızı analiz etmek ve roadmap çıkarmak üzere iletişime geçebilirsiniz. Konuyu derinleştirmek isteyenler için referanslar: Apache resmi Flink CEP dokümantasyonu, Flink GitHub repository, Confluent blog, Apache Kafka docs, stream processing literatürü (arXiv) ve Microsoft Azure Event Hubs.