Linux容器日志管理核心是通过stdout/stderr输出日志并由Docker守护进程接管,需配置json-file/syslog驱动、max-size/max-file轮转策略,使用docker logs高效提取,对接Fluentd/Filebeat+ELK或Loki集中分析,并规范应用层直接输出至标准输出。
Linux容器日志管理核心在于不把日志写进容器文件系统,而是通过标准输出(stdout/stderr)交由Docker守护进程统一接管。这是高效收集与分析的前提。
配置Docker日志驱动与轮转策略
Docker默认使用json-file驱动,日志以JSON格式落盘,但不设限会导致磁盘打满。推荐在/etc/docker/daemon.json中配置:
- log-driver: 设为
json-file或syslog(对接系统日志服务) - log-opts启用自动轮转:
"max-size": "10m"— 单个日志文件最大体积"max-file": "3"— 最多保留3个历史文件"labels": "env,service"— 为日志添加容器标签元数据
修改后执行sudo systemctl restart docker生效。该配置对所有新建容器生效,已有容器需重建才应用。
从宿主机高效提取容器日志
避免登录容器用cat /var/log/app.log——这违背容器不可变原则,且日志可能根本没落地。
- 用
docker logs -t --since="2h" myapp查看带时间戳的最近2小时日志 - 加
-f实时跟踪:docker logs -f --tail=50 myapp(仅看最后50行并持续输出) - 批量导出多个容器日志:
for c in $(docker ps -q --filter "label=env=prod"); do echo "== $c =="; docker logs "$c" --since="24h" | head -20; done
对接ELK或Loki做集中分析
单机docker logs只能应急,生产环境必须集中采集。
- 用
fluentd或filebeat监听/var/lib/docker/containers/*/*-json.log路径(Docker json-file驱动的日志落盘位置) - 解析JSON日志时提取
log、time、container_id、name等字段,再打上K8s Pod/Node标签(若运行在集群中) - Loki方案更轻量:Filebeat将日志推给Loki,Grafana查询时用LogQL,例如:
{job="docker"} |~ "timeout" | line_format "{{.log}}" | unwrap log
应用层日志输出规范建议
容器内进程必须把业务日志直接输出到stdout,而非重定向到文件。
- Java应用:Logback配置
FileAppender - Python应用:确保
logging.basicConfig(level=logging.INFO, format="%(asctime)s %(levelname)s %(message)s"),不指定filename - Node.js:用
console.log()/console.error(),避免fs.writeFileSync("app.log", ...)
若旧程序强制写文件,可用tail -f /app/logs/*.log >&1在启动脚本中将其转发到标准输出。