这个问题我之前帮不少开发者排查过，本质是json-file驱动的滚动机制和容器日志软链接的特性冲突导致的——当日志滚动时，原文件被清空的瞬间，刚好有新日志写入或者软链接的指向逻辑没跟上，就会丢最后一批日志。下面几个方案可以有效解决这个问题：

1. 改用Docker local日志驱动（最直接的解决方案） #

Docker官方推出的local日志驱动就是为了弥补json-file的诸多缺陷，它的滚动机制更可靠：通过重命名文件而非清空原文件来实现日志滚动，完全避免了清空操作带来的日志丢失风险。

配置方法： #

全局配置（所有容器生效）

编辑Docker daemon配置文件/etc/docker/daemon.json（如果没有就新建）：

{
  "log-driver": "local",
  "log-opts": {
    "max-size": "10m",  // 根据你的需求调整单文件大小
    "max-file": "2"     // 保留的日志文件数量
  }
}

保存后重启Docker服务：

systemctl restart docker

单个容器配置（仅当前容器生效）

启动容器时直接指定日志驱动：

docker run --log-driver local --log-opt max-size=10m --log-opt max-file=2 [你的镜像名]

local驱动还支持日志压缩、更高效的磁盘IO，是官方推荐的替代json-file的方案。

2. 调整json-file的日志收集策略（无法换驱动时的临时方案） #

如果暂时不能切换到local驱动，那就要避免直接依赖/var/log/containers下的软链接，而是从原始日志目录入手：

• 直接监控原始容器日志目录：/var/lib/docker/containers/[容器ID]/[容器ID]-json.log*，这里的*会匹配所有滚动后的日志文件（比如.log.1、.log.2）。
• 配置日志收集工具覆盖所有日志文件：比如用Filebeat或Fluentd时，把路径配置成/var/lib/docker/containers/*/*.log*，确保所有滚动产生的日志文件都被监控到，不会漏掉任何一批日志。

另外，还可以开启json-file的non-blocking模式，防止容器因日志写入阻塞而丢失日志（虽然这和滚动丢失的直接原因不同，但能提升整体日志可靠性）：

docker run --log-driver json-file --log-opt max-size=10m --log-opt max-file=2 --log-opt mode=non-blocking [你的镜像名]

3. 部署专业日志收集系统（长期稳定方案） #

不管用哪种日志驱动，专业的日志收集系统（比如Loki、ELK Stack、Fluentd）都能从根源上避免日志丢失问题：

• 这些工具会实时跟踪容器日志的写入和滚动过程，自动捕获所有日志条目；
• 日志会被统一存储到中心化的存储中，方便查询、分析和备份，不再依赖主机本地的文件系统。

比如用Loki+Promtail的组合：Promtail会自动发现Docker容器，跟踪所有日志文件的变化，即使发生滚动也能完整收集日志，然后发送到Loki进行存储和查询。

内容的提问来源于stack exchange，提问作者김태우