如何查看上一个挂掉的pod日志

在Kubernetes生产环境中，容器崩溃是开发者常遇到的故障场景。当容器异常退出时，如何快速获取崩溃前的日志？本文将结合实战经验为你揭秘查看崩溃容器日志的完整方法链。

---

一、核心命令：查看崩溃容器日志

使用以下命令可查看上一个崩溃容器的日志（注意替换<pod-name>为实际名称）：

kubectl logs <pod-name> --previous  # --previous可简写为 -p 

该命令通过kubelet获取容器崩溃前写入标准输出/错误的日志，是调试容器启动失败、运行时异常的利器。

---

二、多容器Pod的日志查看技巧

若Pod包含多个容器（如Sidecar模式），需指定容器名称：

kubectl logs <pod-name> -c <container-name> --previous  # -c指定容器

如何快速获取容器名称？

1. 查看Pod描述中的容器列表：

kubectl describe pod <pod-name> | grep "Containers:" -A 10

2. 直接解析Pod配置（需安装jq）：

kubectl get pod <pod-name> -o json | jq '.spec.containers[].name' 

---

三、生产环境必备技巧

1. 结合事件分析
   当容器频繁崩溃时，先查看Pod事件定位问题时间线：

kubectl describe pod <pod-name> | grep -A 15 "Events:"  # 显示最近事件
kubectl get events --sort-by='.lastTimestamp'  # 按时间排序所有事件

2. 日志保留策略
   Kubernetes默认保留最近退出的容器日志（由kubelet参数--container-log-max-files控制），但需注意：

   • 仅保留最后一次崩溃的日志（可通过DaemonSet修改保留次数）
   • 日志文件存储在节点/var/log/pods目录

3. 经典报错处理
   Error: no previous terminated container found表示：

   • 容器是首次启动
   • 节点已清理历史日志（检查kubelet垃圾回收配置）

---

四、调试流程图

容器崩溃 → 查看实时日志(kubectl logs) → 无输出？
               ↓
        添加--previous参数 → 获取到日志 → 分析错误
               ↓
          仍无日志 → 检查kubelet日志保留策略
               ↓
      kubectl describe pod → 分析Events时间线

---

通过掌握这些技巧，您能快速定位如镜像启动失败、OOMKilled、健康检查异常等典型问题。建议将关键命令加入运维手册，后续还可结合Lens、K9s等工具实现可视化日志查看。如果有其他K8s日志相关问题，欢迎在评论区交流讨论。

参考资料：
Kubernetes官方日志查看机制
多容器Pod调试方法
kubelet日志保留原理
事件分析与时间排序技巧