一、linux系统日志文件：
/var/log/boot.log 系统开机自检事件及引导过程等信息
/var/log/lastlog 用户登录成功时间、终端名称及IP地址等信息
/var/log/btmp 记录登录失败的时间、终端名称及IP地址等信息
/var/log/messages 系统及各个服务的运行和报错信息
/var/log/secure 系统安全相关的信息
/var/log/wtmp 系统启动与关机等相关信息

其中/var/log/messages用的较多，当服务出现问题时查看它一般能找到日志

二、journalctl
journalctl命令用于检索和管理系统日志信息，英文全称为“journal control”，语法格式为“journalctl 参数”
参数有：
-k 内核日志
-b 启动日志
-u 指定服务
-n 指定条数
-p 指定类型，日志级别
-f 实时刷新（追踪日志）
–since 指定时间
–disk-usage 占用空间

Linux默认的日志服务程序是rsyslog，日志根据重要程度被分为9个等级，可以在journalctl命令中用-p参数进行指定
emerg 系统出现严重故障，内核崩溃等情况
alert 应立即修复的故障，数据库损坏等情况
crit 危险较高的故障，硬盘损坏导致程序运行失败的情况
err 一般危险的故障，某个服务启动或运行失败的情况
warning 警告信息，某个服务参数或功能错误的情况
notice 一般无危险的故障，只是需要处理的情况
info 通用性消息，给用户提示一些有用信息
debug 调试程序所产生的信息
none 没有优先级，不做日志记录

查看5行
journalctl -n 5
不断刷新
journalctl -f
指定级别
journalctl -p crit
指定服务
journalctl -u sshd
时间范围
journalctl --since today
journalctl --since “-1 hour” 最近一小时
journalctl --since “12:00” --until “14:00”
journalctl --since “2020-07-01” --until “2020-08-01”