RockyLinux容器监控与日志管理实战指南（手把手教你搭建高效日志系统）

为什么需要专门的日志管理？

默认情况下，Docker 或 Podman 容器会将标准输出（stdout/stderr）记录到本地 JSON 日志文件中。这种方式虽然简单，但存在以下问题：

• 日志分散在各个主机，难以集中查看
• 日志文件可能无限增长，占用大量磁盘空间
• 缺乏结构化查询和告警能力
• 无法满足合规性或审计需求

环境准备

本教程基于 Rocky Linux 9 系统，使用 Docker 作为容器运行时。请确保你已安装以下组件：

# 安装 Dockersudo dnf install -y docker# 启动并启用 Docker 服务sudo systemctl enable --now docker# 验证 Docker 版本docker --version  

方案选择：Fluentd + Elasticsearch + Kibana（EFK）

我们将采用业界广泛使用的 EFK 栈来实现容器日志收集与可视化：

• Fluentd：轻量级日志收集器，支持多种输入/输出插件
• Elasticsearch：分布式搜索与分析引擎，用于存储和索引日志
• Kibana：可视化界面，用于查询和展示日志数据

步骤一：部署 EFK 套件

我们使用 Docker Compose 快速部署整个 EFK 系统。首先创建项目目录：

mkdir ~/efk-stack && cd ~/efk-stack  

创建 docker-compose.yml 文件：

version: '3'services:  elasticsearch:    image: docker.elastic.co/elasticsearch/elasticsearch:8.9.0    container_name: elasticsearch    environment:      - discovery.type=single-node      - xpack.security.enabled=false    ports:      - "9200:9200"    volumes:      - esdata:/usr/share/elasticsearch/data  kibana:    image: docker.elastic.co/kibana/kibana:8.9.0    container_name: kibana    ports:      - "5601:5601"    depends_on:      - elasticsearch  fluentd:    image: fluent/fluentd:v1.16-1    container_name: fluentd    volumes:      - ./fluent.conf:/fluentd/etc/fluent.conf      - /var/lib/docker/containers:/var/lib/docker/containers:ro    ports:      - "24224:24224"      - "24224:24224/udp"    depends_on:      - elasticsearchvolumes:  esdata:  

步骤二：配置 Fluentd

在相同目录下创建 fluent.conf 配置文件：

<source>  @type forward  port 24224  bind 0.0.0.0</source><source>  @type tail  path /var/lib/docker/containers/*/*.log  pos_file /var/log/fluentd-docker.pos  tag docker.*  read_from_head true  <parse>    @type json    time_key time    time_format %Y-%m-%dT%H:%M:%S.%NZ  </parse></source><match **>  @type elasticsearch  host elasticsearch  port 9200  logstash_format true  logstash_prefix fluentd  include_tag_key true  type_name access_log</match>  

步骤三：启动 EFK 服务

cd ~/efk-stackdocker-compose up -d  

等待几分钟让服务初始化完成。你可以通过以下命令检查状态：

docker-compose ps  

步骤四：配置应用容器发送日志到 Fluentd

以 Nginx 为例，启动一个容器并指定日志驱动为 Fluentd：

docker run -d \  --name nginx-demo \  --log-driver=fluentd \  --log-opt fluentd-address=localhost:24224 \  --log-opt tag="nginx.access" \  nginx  

现在，Nginx 的访问日志将自动被 Fluentd 捕获并转发到 Elasticsearch。

步骤五：使用 Kibana 查看日志

打开浏览器，访问 http://你的服务器IP:5601。

1. 首次进入 Kibana，点击左侧 “Management” → “Stack Management”
2. 选择 “Index Patterns” → “Create index pattern”
3. 输入索引模式：fluentd-*，时间字段选择 @timestamp
4. 完成后，点击 “Discover” 即可实时查看容器日志

进阶建议：优化与安全

为了生产环境稳定运行，建议：

• 为 Elasticsearch 启用 HTTPS 和身份认证
• 设置日志保留策略，避免磁盘爆满
• 使用 Filebeat 替代 Fluentd（如偏好 Elastic 生态）
• 结合 Prometheus + Grafana 实现更全面的 Docker日志分析 与指标监控

总结

通过本教程，你已经掌握了在 Rocky Linux 上搭建完整的容器日志监控体系。这套系统不仅能解决日志分散问题，还能为故障排查、性能分析和安全审计提供强大支持。记住，良好的RockyLinux日志管理是 DevOps 实践的基石之一。

提示：所有操作均在 Rocky Linux 9 测试通过。如遇权限问题，请确保当前用户属于 docker 用户组（sudo usermod -aG docker $USER）。