采集Docker容器日志（标准输出/文件）

适用范围

• 权限要求：部署使用的阿里云主账号或子账号需具备AliyunLogFullAccess权限。

• 采集标准输出限制：

  • 必须在Docker的配置文件daemon.json中添加"log-driver": "json-file"。

  • 如果是Centos 7.4及以上版本（除Centos 8.0以外），需设置fs.may_detach_mounts=1。

采集配置创建流程

1. 准备工作：创建Project和Logstore，Project是资源管理单元，用于隔离不同业务日志，Logstore用于存储日志。

2. 配置机器组（安装LoongCollector）：在需要采集日志的服务器上安装LoongCollector，并将其加入到机器组中。使用机器组统一管理采集节点，对服务器进行配置分发与状态管理。

3. 创建并配置日志采集规则

   1. 全局与输入配置：定义采集配置的名称及日志采集的来源和范围。

   2. 日志处理与结构化：根据日志格式进行处理配置。

      • 多行日志：适用于单条日志跨越多行（如 Java 异常堆栈、Python traceback），需通过行首正则识别每条日志的起始行。

      • 结构化解析：通过配置解析插件（如正则、分隔符、NGINX 模式等）将原始字符串提取为结构化的键值对，便于后续查询与分析。

   3. 日志过滤：通过配置采集黑名单和内容过滤规则，筛选有效日志内容，减少冗余数据的传输与存储。

   4. 日志分类：通过配置日志主题（Topic）和日志打标灵活区分不同业务、容器或路径来源的日志。

4. 查询与分析配置：系统默认开启全文索引，支持关键词搜索。建议启用字段索引，以便对结构化字段进行精确查询和分析，提升检索效率。

5. 验证与故障排查：配置完成后，验证日志是否成功采集，如遇采集无数据、心跳失败或解析错误等问题，请参考常见问题排查。

准备工作

在采集日志前，需规划并创建用于管理与存储日志的Project和Logstore。若已有可用资源，可跳过此步骤，直接进行步骤一：配置机器组（安装LoongCollector）。

步骤一：配置机器组（安装LoongCollector）

在Docker宿主机上以容器方式部署LoongCollector，并将其加入到机器组中。通过机器组实现对多个采集节点的统一管理、配置分发与状态监控。

1. 拉取镜像

   在已安装Docker的宿主机上执行如下命令，拉取 LoongCollector 镜像。请将${region_id}替换为宿主机所在地域或就近地域ID（如cn-hangzhou），以提升下载速度和稳定性。

   # LoongCollector镜像地址
   docker pull aliyun-observability-release-registry.${region_id}.cr.aliyuncs.com/loongcollector/loongcollector:v3.0.12.0-25723a1-aliyun
   
   # Logtail镜像地址
   docker pull registry.${region_id}.aliyuncs.com/log-service/logtail:v2.1.11.0-aliyun

2. 启动LoongCollector容器

   运行以下命令启动容器，确保正确挂载目录并设置必要环境变量：

   docker run -d \
       -v /:/logtail_host:ro \
       -v /var/run/docker.sock:/var/run/docker.sock \
       --env ALIYUN_LOGTAIL_CONFIG=/etc/ilogtail/conf/${sls_upload_channel}/ilogtail_config.json \
       --env ALIYUN_LOGTAIL_USER_ID=${aliyun_account_id} \
       --env ALIYUN_LOGTAIL_USER_DEFINED_ID=${user_defined_id} \
       aliyun-observability-release-registry.${region_id}.cr.aliyuncs.com/loongcollector/loongcollector:v3.0.12.0-25723a1-aliyun

   参数说明：

   • ${sls_upload_channel}：日志上传通道，由Project所在地域-网络传输类型构成。示例：

     传输类型	配置值格式	示例	适用场景
     内网传输	regionId	cn-hangzhou	ECS与Project同地域
     公网传输	regionId-internet	cn-hangzhou-internet	ECS和Project属于不同地域 服务器为其他云厂商服务器或自建IDC
     传输加速	regionId-acceleration	cn-hangzhou-acceleration	国内外跨区域通信

   • ${aliyun_account_id}：阿里云主账号ID。

   • ${user_defined_id}：机器组的用户自定义标识，用于绑定机器组（如user-defined-docker-1），需在地域内唯一。

     重要

     必须满足的启动条件：

     • 正确配置三个关键环境变量：

       ALIYUN_LOGTAIL_CONFIG、ALIYUN_LOGTAIL_USER_ID、ALIYUN_LOGTAIL_USER_DEFINED_ID。

     • 挂载/var/run/docker.sock：用于监听容器生命周期事件。

     • 挂载/——>/logtail_host：用于访问宿主机文件系统。

3. 验证容器运行状态

   docker ps | grep loongcollector

   预期输出示例：

   6ad510001753   aliyun-observability-release-registry.cn-beijing.cr.aliyuncs.com/loongcollector/loongcollector:v3.0.12.0-25723a1-aliyun   "/usr/local/ilogtail…"   About a minute ago   Up About a minute             recursing_shirley

4. 配置机器组

   在左侧导航栏资源 > 机器组，单击 > 创建机器组，配置如下参数并单击确定：

   • 名称：自定义机器组名称（如 docker-host-group）。

   • 机器组标识：选择用户自定义标识。

   • 用户自定义标识：输入启动容器时设置的${user_defined_id}。必须完全一致，否则无法关联成功。

5. 验证机器组心跳状态

   单击新建机器组名称，进入机器组详情页，查看机器组状态：

   • OK：表示LoongCollector 已成功连接到日志服务。

   • FAIL：请参考心跳异常问题汇总排查。

步骤二：创建并配置日志采集规则

定义 LoongCollector 采集哪些日志、如何解析日志结构、如何过滤内容，并将配置绑定到已注册的机器组。

1. 在日志库页面，单击目标Logstore名称前的展开。

2. 单击数据接入后的，在快速数据接入弹框中，根据日志源选择接入模板，并单击立即接入：

   • Docker 标准输出：选择Docker标准输出-新版

     容器标准输出采集支持新版与旧版两种模板，推荐使用新版。如需了解新、旧版本差异，请参考附录：容器标准输出新旧版本对比。使用旧版采集参考采集Docker容器的标准输出（旧版）。

   • Docker 文件日志：选择Docker文件-容器

3. 机器组配置，完成后单击下一步：

   • 使用场景：选择Docker场景。

   • 将步骤一中创建好的机器组从源机器组列表添加至右侧应用机器组。

4. 在Logtail配置页面，完成如下配置，并单击下一步。

192.168.*.* - - [15/Apr/2025:16:40:00 +0800] "GET /nginx-logo.png HTTP/1.1" 0.000 514 200 368 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.*.* Safari/537.36"

body_bytes_sent: 368
http_referer: -
http_user_agent : Mozi11a/5.0 (Nindows NT 10.0; Win64; x64) AppleMebKit/537.36 (KHTML, like Gecko) Chrome/131.0.x.x Safari/537.36
remote_addr:192.168.*.*
remote_user: -
request_length: 514
request_method: GET
request_time: 0.000
request_uri: /nginx-logo.png
status: 200
time_local: 15/Apr/2025:16:40:00

{"level":"WARNING","timestamp":"2025-09-23T19:11:40+0800","cluster":"yilu-cluster-0728","message":"Disk space is running low","freeSpace":"15%"}
{"level":"ERROR","timestamp":"2025-09-23T19:11:42+0800","cluster":"yilu-cluster-0728","message":"Failed to connect to database","errorCode":5003}
{"level":"INFO","timestamp":"2025-09-23T19:11:47+0800","cluster":"yilu-cluster-0728","message":"User logged in successfully","userId":"user-123"}

{"level":"WARNING","timestamp":"2025-09-23T19:11:40+0800","cluster":"yilu-cluster-0728","message":"Disk space is running low","freeSpace":"15%"}
{"level":"ERROR","timestamp":"2025-09-23T19:11:42+0800","cluster":"yilu-cluster-0728","message":"Failed to connect to database","errorCode":5003}

步骤三：查询与分析配置

在完成日志处理与插件配置后，单击下一步，进入查询分析配置页面：

• 系统默认开启全文索引，支持对日志原始内容进行关键词搜索。

• 如需按字段进行精确查询，请在页面加载出预览数据后，单击自动生成索引，日志服务将根据预览数据中的第一条内容生成字段索引。

配置完成后，单击下一步，完成整个采集流程的设置。

步骤四：验证与故障排查

完成采集配置并应用到机器组后，系统将自动下发配置并开始采集增量日志。

后续步骤

1. 日志查询与分析：可以使用内置的通过AI智能生成查询与分析语句（Copilot），自动生成查询分析语句。

2. 数据可视化：借助可视化仪表盘监控关键指标趋势。

3. 数据异常自动预警：设置告警策略，实时感知系统的异常情况。

常用命令

查看LoongCollector（Logtail）运行状态

docker exec ${logtail_container_id} /etc/init.d/ilogtaild status

查看LoongCollector（Logtail）的版本号、IP地址和启动时间等信息

docker exec ${logtail_container_id} cat /usr/local/ilogtail/app_info.json

查看LoongCollector（Logtail）的运行日志

# 查看LoongCollector运行日志
docker exec a287de895e40 tail -n 5 /usr/local/ilogtail/loongcollector.LOG

# 查看Logtail运行日志
docker exec a287de895e40 tail -n 5 /usr/local/ilogtail/ilogtail.LOG

[2025-08-25 09:17:44.610496]    [info]  [22]    /build/loongcollector/file_server/polling/PollingModify.cpp:75          polling modify resume:succeeded
[2025-08-25 09:17:44.610497]    [info]  [22]    /build/loongcollector/file_server/polling/PollingDirFile.cpp:100                polling discovery resume:starts
[2025-08-25 09:17:44.610498]    [info]  [22]    /build/loongcollector/file_server/polling/PollingDirFile.cpp:103                polling discovery resume:succeeded
[2025-08-25 09:17:44.610499]    [info]  [22]    /build/loongcollector/file_server/FileServer.cpp:117            file server resume:succeeded
[2025-08-25 09:17:44.610500]    [info]  [22]    /build/loongcollector/file_server/EventDispatcher.cpp:1019              checkpoint dump:succeeded

重启LoongCollector（Logtail）

# 停止loongcollector
docker exec a287de895e40 /etc/init.d/ilogtaild stop

# 启动loongcollector
docker exec a287de895e40 /etc/init.d/ilogtaild start

常见问题

常见错误信息

错误日志：The parameter is invalid : uuid=none

问题描述：如果LoongCollector（Logtail）日志（/usr/local/ilogtail/ilogtail.LOG）中出现The parameter is invalid : uuid=none的错误日志。

解决方案：请在宿主机上创建一个product_uuid文件，在其中输入任意合法UUID（例如169E98C9-ABC0-4A92-B1D2-AA6239C0D261），并把该文件挂载到LoongCollector（Logtail）容器的/sys/class/dmi/id/product_uuid目录。

附录：原生解析插件详解

127.0.0.1 - - [16/Aug/2024:14:37:52 +0800] "GET /wp-admin/admin-ajax.php?action=rest-nonce HTTP/1.1" 200 41 "http://www.example.com/wp-admin/post-new.php?post_type=page" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36 Edg/127.0.0.0"

body_bytes_sent: 41
http_referer: http://www.example.com/wp-admin/post-new.php?post_type=page
http_user_agent: Mozilla/5.0 (Windows NT 10.0; Win64; ×64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36 Edg/127.0.0.0
remote_addr: 127.0.0.1
remote_user: -
request_method: GET
request_protocol: HTTP/1.1
request_uri: /wp-admin/admin-ajax.php?action=rest-nonce
status: 200
time_local: 16/Aug/2024:14:37:52 +0800

05/May/2025:13:30:28,10.10.*.*,"POST /PutData?Category=YunOsAccountOpLog&AccessKeyId=****************&Date=Fri%2C%2028%20Jun%202013%2006%3A53%3A30%20GMT&Topic=raw&Signature=******************************** HTTP/1.1",200,18204,aliyun-sdk-java

ip:10.10.*.*
request:POST /PutData?Category=YunOsAccountOpLog&AccessKeyId=****************&Date=Fri%2C%2028%20Jun%202013%2006%3A53%3A30%20GMT&Topic=raw&Signature=******************************** HTTP/1.1
size:18204
status:200
time:05/May/2025:13:30:28
user_agent:aliyun-sdk-java

{"url": "POST /PutData?Category=YunOsAccountOpLog&AccessKeyId=U0Ujpek********&Date=Fri%2C%2028%20Jun%202013%2006%3A53%3A30%20GMT&Topic=raw&Signature=pD12XYLmGxKQ%2Bmkd6x7hAgQ7b1c%3D HTTP/1.1", "ip": "10.200.98.220", "user-agent": "aliyun-sdk-java", "request": {"status": "200", "latency": "18204"}, "time": "05/Jan/2025:13:30:28"}

ip: 10.200.98.220
request: {"status": "200", "latency" : "18204" }
time: 05/Jan/2025:13:30:28
url: POST /PutData?Category=YunOsAccountOpLog&AccessKeyId=U0Ujpek******&Date=Fri%2C%2028%20Jun%202013%2006%3A53%3A30%20GMT&Topic=raw&Signature=pD12XYLmGxKQ%2Bmkd6x7hAgQ7b1c%3D HTTP/1.1
user-agent:aliyun-sdk-java

{"s_key":{"k1":{"k2":{"k3":{"k4":{"k51":"51","k52":"52"},"k41":"41"}}}}}

0_s_key_k1_k2_k3_k41:41
0_s_key_k1_k2_k3_k4_k51:51
0_s_key_k1_k2_k3_k4_k52:52

1_s_key:{"k1":{"k2":{"k3":{"k4":{"k51":"51","k52":"52"},"k41":"41"}}}}

[{"key1":"value1"},{"key2":"value2"}]

json1:{"key1":"value1"}
json2:{"key2":"value2"}

* | extend json1 = json_extract(content, '$[0]'), json2 = json_extract(content, '$[1]')

1 192.168.1.10 - - [08/May/2024:15:30:28 +0800] "GET /index.html HTTP/1.1" 200 1234 "https://www.example.com/referrer" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.X.X Safari/537.36"

http_referer:https://www.example.com/referrer
http_user_agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.X.X Safari/537.36
remote_addr:192.168.1.10
remote_ident:-
remote_user:-
request_method:GET
request_protocol:HTTP/1.1
request_uri:/index.html
response_size_bytes:1234
status:200
time_local:[08/May/2024:15:30:28 +0800]

[{'account':'1812213231432969','password':'04a23f38'}, {'account':'1812213685634','password':'123a'}]

[{'account':'1812213231432969','password':'********'}, {'account':'1812213685634','password':'********'}]

{"level":"INFO","timestamp":"2025-09-23T19:11:47+0800","cluster":"yilu-cluster-0728","message":"User logged in successfully","userId":"user-123"}

附录：正则表达式使用限制（容器过滤）

容器过滤时所使用的正则表达式基于Go语言的RE2引擎，与PCRE等其他引擎相比存在部分语法限制。请在编写正则表达式时注意以下事项：

附录：容器标准输出新旧版本对比

为提升日志存储效率与采集一致性，容器标准输出的日志元信息格式已完成升级。新版格式将元信息统一归类至 __tag__ 字段中，实现存储优化和格式标准化。

1. 新版标准输出核心优势

   • 性能大幅提升

     • 采用C++重构，相较旧版Go实现，性能提升180%-300%。

     • 支持原生插件处理数据，支持多线程并行处理，充分利用系统资源。

     • 支持原生插件与Go插件灵活组合使用，满足复杂场景需求。

   • 更强的可靠性

     • 支持标准输出日志轮转队列，日志采集机制和文件采集机制统一，在标准输出日志快速轮转时的场景可靠性高。

   • 更低的资源消耗

     • CPU使用率降低20%-25%。

     • 内存占用减少20%-25%。

   • 运维一致性增强

     • 参数配置统一：新版标准输出采集插件的配置参数和文件采集插件保持一致。

     • 元信息统一管理：容器元信息字段命名和Tag日志存储位置，与文件采集场景进行了统一，消费端只需维护同套处理逻辑。

2. 新旧版本特性对比

   特性维度	旧版特点	新版特点
   存储方式	元信息作为普通字段直接嵌入日志内容中	元信息集中存放于 __tag__ 标签中
   存储效率	每条日志重复携带完整元信息，占用较多存储空间	相同上下文下的多条日志可复用元信息，节省存储成本
   格式一致性	与容器文件采集格式不一致	字段命名及存储结构与容器文件采集完全对齐，实现统一体验
   查询访问方式	可通过字段名直接查询（如 _container_name_）	需通过 __tag__ 访问对应键值（如 __tag__: _container_name_）

3. 容器元信息字段映射表

   旧版字段名称	新版字段名称
   _container_ip_	__tag__:_container_ip_
   _container_name_	__tag__:_container_name_
   _image_name_	__tag__:_image_name_
   _namespace_	__tag__:_namespace_
   _pod_name_	__tag__:_pod_name_
   _pod_uid_	__tag__:_pod_uid_

   所有元信息字段在新版中均以 __tag__:<key> 形式存储于日志的标签（Tag）区域，而非嵌入日志内容中。

4. 新版变更对用户影响

   • 消费端适配：由于存储位置从“内容”变为“Tag”，用户的日志消费逻辑需做相应调整（例如查询时需通过 __tag__ 访问字段）。

   • SQL兼容性：查询SQL已经自动兼容适配，因此用户无需修改查询语句即可同时处理新旧版本日志。

更多信息

[2023-10-01T10:30:01,000] [INFO] java.lang.Exception: exception happened
    at TestPrintStackTrace.f(TestPrintStackTrace.java:3)
    at TestPrintStackTrace.g(TestPrintStackTrace.java:7)
    at TestPrintStackTrace.main(TestPrintStackTrace.java:16)