Linux 容器日志管理核心是通过 stdout/stderr 输出日志并由 Docker 守护进程接管,需配置 json-file/syslog 驱动、max-size/max-file 轮转策略,使用 docker logs 高效提取,对接 Fluentd/Filebeat+ELK 或 Loki 集中分析,并规范应用层直接输出至标准输出。
Linux 容器日志管理核心在于 不把日志写进容器文件系统,而是通过标准输出(stdout/stderr)交由 Docker 守护进程统一接管。这是高效收集与分析的前提。
配置 Docker 日志驱动与轮转策略
Docker 默认使用 json-file 驱动,日志以 JSON 格式落盘,但不设限会导致磁盘打满。推荐在 /etc/docker/daemon.json 中配置:
- log-driver: 设为
json-file或syslog(对接系统日志服务) - log-opts启用自动轮转:
"max-size": "10m"— 单个日志文件最大体积"max-file": "3"— 最多保留 3 个历史文件"labels": "env,service"— 为日志添加容器标签元数据
修改后执行 sudo systemctl restart docker 生效。该配置对所有新建容器生效,已有容器需重建才应用。
从宿主机高效提取容器日志
避免登录容器用cat /var/log/app.log——这违背容器不可变原则,且日志可能根本没落地。
- 用
docker logs -t --since="2h" myapp查看带时间戳的最近 2 小时日志 - 加
-f实时跟踪:docker logs -f --tail=50 myapp(仅看最后 50 行并持续输出) - 批量导出多个容器日志:
for c in $(docker ps -q --filter "label=env=prod"); do echo "== $c =="; docker logs "$c" --since="24h" | head -20; done
对接 ELK 或 Loki 做集中分析
单机 docker logs 只能应急,生产环境必须集中采集。
- 用
fluentd或filebeat监听 /var/lib/docker/containers/*/*-json.log 路径(Docker json-file 驱动的日志落盘位置) - 解析 JSON 日志时提取
log、time、container_id、name等字段,再打上 K8s Pod/Node 标签(若运行在集群中) - Loki 方案更轻量:Filebeat 将日志推给 Loki,Grafana 查询时用 LogQL,例如:
{job="docker"} |~ "timeout" | line_format "{{.log}}" | unwrap log
应用层日志输出规范建议
容器内进程必须把业务日志直接输出到 stdout,而非重定向到文件。
- Java 应用:Logback 配置
FileAppender - Python 应用:确保
logging.basicConfig(level=logging.INFO, format="%(asctime)s %(levelname)s %(message)s"),不指定filename - Node.js:用
console.log()/console.error(),避免fs.writeFileSync("app.log", ……)
若旧程序强制写文件,可用 tail -f /app/logs/*.log >&1 在启动脚本中将其转发到标准输出。
