一、linux系统日志文件:
/var/log/boot.log 系统开机自检事件及引导过程等信息
/var/log/lastlog 用户登录成功时间、终端名称及IP地址等信息
/var/log/btmp 记录登录失败的时间、终端名称及IP地址等信息
/var/log/messages 系统及各个服务的运行和报错信息
/var/log/secure 系统安全相关的信息
/var/log/wtmp 系统启动与关机等相关信息

其中/var/log/messages用的较多,当服务出现问题时查看它一般能找到日志

二、journalctl
journalctl命令用于检索和管理系统日志信息,英文全称为“journal control”,语法格式为“journalctl 参数”
参数有:
-k 内核日志
-b 启动日志
-u 指定服务
-n 指定条数
-p 指定类型,日志级别
-f 实时刷新(追踪日志)
–since 指定时间
–disk-usage 占用空间

Linux默认的日志服务程序是rsyslog,日志根据重要程度被分为9个等级,可以在journalctl命令中用-p参数进行指定
emerg 系统出现严重故障,内核崩溃等情况
alert 应立即修复的故障,数据库损坏等情况
crit 危险较高的故障,硬盘损坏导致程序运行失败的情况
err 一般危险的故障,某个服务启动或运行失败的情况
warning 警告信息,某个服务参数或功能错误的情况
notice 一般无危险的故障,只是需要处理的情况
info 通用性消息,给用户提示一些有用信息
debug 调试程序所产生的信息
none 没有优先级,不做日志记录

查看5行
journalctl -n 5
不断刷新
journalctl -f
指定级别
journalctl -p crit
指定服务
journalctl -u sshd
时间范围
journalctl --since today
journalctl --since “-1 hour” 最近一小时
journalctl --since “12:00” --until “14:00”
journalctl --since “2020-07-01” --until “2020-08-01”