Linux容器日志管理核心是通过stdout/stderr输出日志并由Docker守护进程接管，需配置json-file/syslog驱动、max-size/max-file轮转策略，使用docker logs高效提取，对接Fluentd/Filebeat+ELK或Loki集中分析，并规范应用层直接输出至标准输出。

Linux容器日志管理核心在于不把日志写进容器文件系统，而是通过标准输出（stdout/stderr）交由Docker守护进程统一接管。这是高效收集与分析的前提。

配置Docker日志驱动与轮转策略

Docker默认使用json-file驱动，日志以JSON格式落盘，但不设限会导致磁盘打满。推荐在/etc/docker/daemon.json中配置：

• log-driver: 设为json-file或syslog（对接系统日志服务）
• log-opts启用自动轮转：
  "max-size": "10m" — 单个日志文件最大体积
  "max-file": "3" — 最多保留3个历史文件
  "labels": "env,service" — 为日志添加容器标签元数据

修改后执行sudo systemctl restart docker生效。该配置对所有新建容器生效，已有容器需重建才应用。

从宿主机高效提取容器日志

避免登录容器用cat /var/log/app.log——这违背容器不可变原则，且日志可能根本没落地。

• 用docker logs -t --since="2h" myapp查看带时间戳的最近2小时日志
• 加-f实时跟踪：docker logs -f --tail=50 myapp（仅看最后50行并持续输出）
• 批量导出多个容器日志：
  for c in $(docker ps -q --filter "label=env=prod"); do echo "== $c =="; docker logs "$c" --since="24h" | head -20; done

对接ELK或Loki做集中分析

单机docker logs只能应急，生产环境必须集中采集。

• 用fluentd或filebeat监听/var/lib/docker/containers/*/*-json.log路径（Docker json-file驱动的日志落盘位置）
• 解析JSON日志时提取log、time、container_id、name等字段，再打上K8s Pod/Node标签（若运行在集群中）
• Loki方案更轻量：Filebeat将日志推给Loki，Grafana查询时用LogQL，例如：
  {job="docker"} |~ "timeout" | line_format "{{.log}}" | unwrap log

应用层日志输出规范建议

容器内进程必须把业务日志直接输出到stdout，而非重定向到文件。

• Java应用：Logback配置，禁用FileAppender
• Python应用：确保logging.basicConfig(level=logging.INFO, format="%(asctime)s %(levelname)s %(message)s")，不指定filename
• Node.js：用console.log()/console.error()，避免fs.writeFileSync("app.log", ...)

若旧程序强制写文件，可用tail -f /app/logs/*.log >&1在启动脚本中将其转发到标准输出。