Estou usando o CoreOS, que usa o systemd e o docker.
Um dos grandes problemas do systemd e do CoreOS é que ele não funciona 100% legal com o docker. Ou talvez docker não jogue 100% legal também. Outro problema que estou tendo com ele é que os eventos de log que são registrados no diário parecem vir de "docker", o que não é verdade. Eles vêm do processo em que o docker é executado. Isso normalmente não seria um grande problema, mas quando você encaminha esses logs para outro serviço como uma pilha ELK, não é possível descobrir o que são logs nginx versus outros logs de serviço. Sua fonte é toda docker!
Existe uma maneira de contornar isso? Estou usando o docker 1.9, que é o que o CoreOS Stable tem. Portanto, ainda não tenho o privilégio de usar o json output diretamente do docker.
Todos os arquivos de serviço e contêineres do Docker inserem dados no diário do systemd. Se o evento foi originado pelo contêiner do Docker, a origem do processo é registrada como Docker. Você pode registrar um bug aqui se você acredita que os logs devem ser exibidos de uma maneira diferente.
Voltando à sua pergunta, você considerou o encaminhamento dos registros do docker para o ELK em vez dos logs do systemd?