容器日志是定位问题的第一入口,可通过docker logs命令查看容器的标准输出(stdout)和标准错误(stderr)。常用选项:
docker logs <container_id_or_name>(如docker logs my_nginx);docker logs -f <container_id_or_name>(类似tail -f,适合调试运行中的服务);docker logs --tail=100 <container_id_or_name>(仅显示最后100行,快速定位近期问题);docker logs --since="2025-08-01T00:00:00" --until="2025-08-30T23:59:59" <container_id_or_name>(按时间过滤,适合排查历史问题)。若容器将日志写入内部文件(如/var/log/app.log),可通过docker exec进入容器查看:docker exec -it <container_id> cat /var/log/app.log。
当日志无法定位问题时,需进入容器内部检查文件系统、配置或进程状态:
docker exec -it <container_id> /bin/bash(若容器无bash,可替换为/bin/sh);cat /path/to/config/file(如Nginx的/etc/nginx/nginx.conf、Java应用的/app/application.yml);ps aux | grep <process_name>(如ps aux | grep java,确认应用进程是否运行);df -h(避免因磁盘满导致应用崩溃);netstat -tulnp或ss -tulnp(确认应用是否监听预期端口,如80、3306)。若需调试应用代码(如Java、Python),需开启远程调试端口并连接IDE:
docker run -d -p 5005:5005 -e JAVA_OPTS="-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005" my_java_app(暴露5005端口);pdb(pip install pdb),启动时添加-m pdb(如python -m pdb app.py);若容器无法启动或频繁崩溃,需排查Docker服务及系统环境:
systemctl status docker.service(确认服务是否运行,若未运行则systemctl start docker.service);journalctl -u docker.service(获取Docker启动或运行时的详细错误信息,如权限问题、依赖缺失);Permission denied,可临时禁用SELinux(setenforce 0)或在docker run时添加--privileged=true;firewall-cmd --list-all(确认Docker端口(如80、443)是否开放,若未开放则firewall-cmd --add-port=80/tcp --permanent并firewall-cmd --reload)。对于复杂问题(如内存泄漏、死锁),可使用专用调试工具:
gdb /path/to/executable <pid>(附加到运行中的进程,设置断点、查看变量);strace -p <pid>(跟踪进程的系统调用,如文件读写、网络请求,定位卡顿或权限问题);jstack(查看线程堆栈,解决死锁)、jmap(查看内存使用,分析泄漏);Python用pdb(交互式调试);Node.js用node-inspector(调试JavaScript)。netstat -tulnp | grep <port>(如netstat -tulnp | grep 80),若端口被占用,修改容器端口映射(-p 8080:80,将容器80端口映射到宿主机8080端口);df -h(查看磁盘使用情况),清理Docker缓存(docker system prune -a,删除无用镜像、容器、网络)或扩容磁盘;chcon -Rt svirt_sandbox_file_t /path/to/mount(修改挂载目录的安全上下文,允许容器访问);docker network inspect <network_name>(查看容器网络配置,确认IP、网关是否正确),或重启Docker网络(systemctl restart docker)。
