Docker容器日志解析失败的排查记录

已于 2023-10-16 14:37:20 修改
阅读量716 收藏
点赞数
文章标签: docker 容器 运维
于 2023-10-16 14:30:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22841899/article/details/133857625
版权

前言

在通过docker logs(m log是我自己创建的一个别名,等于docker logs)查看日志时,发现经常出现读不出来,或者只读出来一部分的情况。如下图:

  1. Error grabbing logs: error finding file position to start log tailing: unexpected number of bytes read from log message header.
    在这里插入图片描述
  2. unexpected EOF
    ![2023-10-16T02:55:01.png][2]
  3. Error grabbing logs: log message is too large (1952739189 > 1000000)
    在这里插入图片描述

经过调查,有以下几种原因:

  1. Docker版本过低。目前已经对盒子上的docker版本进行了更新,现在都是24版本以上,不再存在本问题。
  2. 内存不足,这个只能通过增大内存解决。
  3. 运行过程中突然断电导致日志记录出现不完整的一条记录,导致日志无法读取。

本文针对第三种情况,记录如何排查并解决该问题。

正文

Docker的日志驱动有很多种,默认是json格式的日志。其优点是可读性强,直接拉取日志文件就可以清楚的看到日志的时间、内容等。缺点是占用空间大,性能差。因此,我们在船上的盒子里面使用的是local格式的日志。该格式除了日志本身的内容以外,是不可读的,但占用空间小,效率高,如下图:
![2023-10-16T03:02:58.png][4]
首先,需要找到损坏的日志文件。假设我们要读取的容器是cam0,那么要先通过docker ps命令找到它的container id。
![2023-10-16T03:04:18.png][5]

然后,进入到/var/lib/docker/container/{container_id}/local-logs/目录下(需要root权限),即可看到日志文件。
![2023-10-16T03:05:20.png][6]

第一次尝试

由于每一条日志Docker都会记录其发生的时间,并且精确到了纳秒级,因此我猜测他应该是使用的double格式记录的。通过vscode的hex编辑器打开日志,截取出其中几条日志,可以发现,每条日志的前24个字节,和最后4个字节是Docker生成的。其中前四个字节猜测为U32,代表数据长度。
![2023-10-16T03:20:54.png][7]

在这前面的24个字节中,我按照大端、小端模式,分别查看了每一种可能,发现按double解析出来,都不是时间戳。虽然知道时间戳就隐藏在这24字节中,但无论按哪种方式解析都无法和时间戳对应。因此这种方式以失败告终。

第二次尝试

既然Docker cli能解析日志,那么他的源码里面肯定有解析方法。所以我就开始扒源码,费尽千辛万苦,终于找到了解析代码。源码地址:https://github.com/moby/moby。查看daemon/logs.go文件,可以找到获取log的源码:
![2023-10-16T03:34:17.png][9]

这个函数前半部分都是在解析参数,像since、until之类的。直接看核心代码:
![2023-10-16T03:35:22.png][10]

然后找Readlogs的定义:
![2023-10-16T04:05:08.png][11]

可以看到实际上调用的是readLogsLocked,继续找:
![2023-10-16T04:05:53.png][12]
在这里插入图片描述
在这里插入图片描述
终于找到关键了!看起来是一个protocol buffer格式,下一步搜索LogEntry,终于找到了他的原型:
在这里插入图片描述

接下来按照这个proto解析日志,发现果然可以成功解析!最开始的截图里面的日志,解析出来结果如下:
![2023-10-16T06:19:05.png][16]

解析解本

若因为异常断电导致日志无法读取,则是因为异常断电导致日志记录出错,出现protobuf无法解析、header中记录的日志长度超过限制等。因此我们可以跳过这些异常的日志,然后读取其余部分,避免完全不可读的情况。下面给出了一个Python脚本,大家可以自行尝试。

import datetime
import entry_pb2 as pb
import struct

with open('container.log', 'rb') as f:
    data = f.read()

i = 0
while i < len(data):
    try:
        size = struct.unpack('>I', data[i: i+4])[0]
        if size > 1000000:
            i += 1
            continue
        buf = data[i + 4: i + size + 4]
        log = pb.LogEntry()
        log.ParseFromString(buf)
        print(datetime.datetime.fromtimestamp(log.time_nano / 1000000000).strftime('%Y-%m-%d %H:%M:%S'), f'\t{i}\t', log.line.decode())
        i += 8 + size
    except:
        i += 1
上古豆腐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Docker容器日志查看与清理的方法(亲测有效)
01-10
1. 问题 docker容器日志导致主机磁盘空间满了。docker logs -f container_name噼里啪啦一大堆,很占用空间,不用的日志可以清理掉了。 2. 解决方法 2.1 找出Docker容器日志 在linux上,容器日志一般存放在/var/lib/docker/containers/container_id/下面, 以json.log结尾的文件(业务日志)很大,查看各个日志文件大小的脚本docker_log_size.sh,内容如下: #!/bin/sh echo ======== docker containers logs file size ========
Docker容器监控及日志管理实现过程解析
09-29
主要介绍了Docker容器监控及日志管理实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Docker容器 日志中文乱码问题解决办法
01-10
Docker容器 日志中文乱码问题解决办法 1. 找到dockerfile文件, 如 /use/local/src/Docker/Dockerfile 2. 编辑Dockerfile 添加 ENV LANG en_US.UTF-8 ENV LANGUAGE en_US:en ENV LC_ALL en_US.UTF-8 3. 生成新的镜像文件 docker build -t centos7 . 4. 使用docker images查看新生成的镜像 5. 使用新的镜像启动容器 docker run -d -ti --name test2 1289da88c0dc /bin/b
Docker 容器日志分析
01-10
查看容器日志 先使用  docker run -it --rm -d -p 80:80 nginx:1.15.8-alpine 命令启动一个nginx容器。如果没有异常,会得到容器ID如  d2408a7931c95a3a83ffeca2fba887763cf925a67890ef3be4d9ff838aa25b00  的长串。再使用  curl -i http://127.0.0.1  访问服务,确认nginx容器正常启动运行。最后使用  docker logs -f d24  查看容器日志输出,大概如下: 172.17.0.1 - - [24/Mar/2019:03:51:21 +
docker中出现日志损坏无法读取问题
qq_44896374的博客
03-17 5808
今天执行es容器当中遇到这么个问题。简而言之大概就是抓取日志错误。之后备份后进行删除就好了。找到你的日志文件目录。
Docker查看日志报错:error from daemon in stream Error grabbing logs rpc error code = Unknown desc = warning
清尘
11-10 6050
docker查看日志报错解决办法
docker启动容器失败,然后查看日志docker logs查看容器出现报错:
最新发布
waper97的博客
11-23 2057
docker启动容器失败,然后查看日志docker logs查看容器出现报错:
docker-常见问题的解决方法
ssehs的博客
01-08 709
找到文件 /lib/systemd/system/docker.service 修改文件 //在 ExecStart 开头的这一行末尾添加 -H tcp://0.0.0.0:2375 ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock -H tcp://0.0.0.0:2375 重启服...
error from daemon in stream: Error grabbing logs: invalid character 'l' after object key:value pair
热门推荐
weixin_34162401的博客
01-15 1万+
为什么80%的码农都做不了架构师?>>> ...
我的Docker学习笔记
zollty的专栏
09-13 824
Docker学习资料: 官方:http://docs.docker.com/userguide/ 中文:http://yeasy.gitbooks.io/docker_practice/content/introduction/what.html 一、Ubuntu下安装docker 安装教程:http://docs.docker.com/installa
docker基本安装及问题整理
garmoo的博客
01-14 222
docker基本安装 yum安装 卸载老版本的Docker 在CentOS中,老版本Docker名称是dockerdocker-engine ,而Docker CE的软件包名称是docker-ce 。因此,如已安装过老版本的Docker,需使用如下命令卸载。 sudo yum remove docker \ docker-common \ ...
分析解决logcat报read: Unexpected EOF
一只立志于养老婆的程序猿
08-23 1576
在做android开发调试过程中,我们经常会用到logcat,通过logcat可以更直接的看出程序执行的顺序以及开发产生的日志信息,但是,今天客户遇到一个问题,logcat提示read: Unexpected EOF!异常,然后日志就不在打印了。今天我们就分析一下为什么logcat会出现read: Unexpected EOF异常,以及出现read: Unexpected EOF异常后日志无法正常输出的原因。
kubectl logs -f 报错error: unexpected EOF 解决
宫凯宁的博客
07-30 9717
背景: 由于搭建的高可用k8s集群,在master节点的上层部署了一个nginx用来做负载均衡。 问题: 今天使用kubectl logs -f podname查看实时日志的时候发现很快会报错 error: unexpected EOF并断开日志。 解决思路: 由于kubectl 的执行原理如下: kubectl客户端首先验证请求的合法性,如果请求合法会将请求发送至kube-apiserver,由...
Go Json 序列化错误 (已解决)
草帽boy的博客
01-03 2393
panic: invalid character ‘\x00’ looking for beginning of value 在 用 go 的json.Unmarshal 反序列化时 遇到的问题 在读取文件时 头多了个 空 bytes.Trim(conetnt,"\x00")
Redis异常问题处理
梦想成真那天
02-01 1323
2018-01-31 16:18:44.514 [T_BOSS_GROUP-3-8] INFO c.bonree.browser.business.core.CorePackageBusiness - appId:1487 Count:7423 time:[1517386724514] 2018-01-31 16:18:55.152 [redis-consumer-client-thread
docker service logs 不显示日志
qq_28946965的博客
06-09 2256
docker swarm 最近出现了一个很有意思的问题, 具体问题如下: docker logs 正常输出日志, docker service logs 为空, 无法正常输出日志
logcat: Unexpected EOF!的解决方法
码龙-的博客
08-05 5095
logcat: Unexpected EOF!的解决方法!
【MongoDB】 恢复数据库的时候 Failed invalid character '\x00' looking for beginning of value
ITxiaobaibai的博客
04-16 3311
错误: 2019-04-16T20:09:07.406+0800 the --db and --collection args should only be used when restoring from a BSON file. Other uses are deprecated and will not exist in the future; use --nsInclude inst...
Error response from daemon
如果想成为中心,那么就到中心去吧。
09-13 438
当输入下面的指令时 打开/etc/docker/daemon.json文件 写入以下内容: 重新加载配置&&重启docker服务 参考 https://blog.csdn.net/qq_43617936/article/details/126321089
docker容器cpu占用高排查
05-31
Docker容器的CPU占用率较高时,可以尝试以下步骤进行排查: 1. 查看容器的CPU占用情况: ``` docker stats <container-id> ``` 这个命令可以实时查看容器的CPU、内存、网络和磁盘等资源的使用情况。 2. 进入容器内部,查看具体的进程: ``` docker exec -it <container-id> bash top ``` 这个命令可以进入容器的bash终端,并查看容器内部的进程情况,从而确定哪些进程或应用程序在占用CPU资源。 3. 使用工具进行分析: - `htop`:可以在终端中以交互式方式查看系统进程和资源使用情况。 - `perf`:可以对进程进行性能分析,查看进程的CPU使用情况、函数调用等信息。 - `sysdig`:可以对系统进行全方位的监控和诊断,包括容器内部的进程和资源使用情况。 4. 修改容器配置: 如果发现某个应用程序在占用大量的CPU资源,可以考虑修改容器的配置,例如增加CPU核心数、限制CPU使用率等。 以上是针对Docker容器CPU占用高的一些排查方法,可以根据具体情况进行选择和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

上古豆腐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值