在Linux系统中，日志记录文件默认放在系统/var/log目录下，大部分可以通过文本查看命令直接查看。但出于安全考虑，与连接登录有关的日志以二进制文件形式存在，需要用相关命令来查看。

常用的日志文件:

audit:存放系统安全审计的日志，通常与SELinux有关。

boot.log:系统引导过程日志。其从系统初始化开始，不包含内核引导，并且只保留最近一次的系统引导日志记录。

btmp:用户登录系统失败的日志记录。要使用lastb命令进行查看。

ConsoleKit/history:图形界面中普通用户管理员授权的历史记录。

cron:周期性计划任务日志。

cups:打印设备使用日志。

dmesg:引导时内核加载的日志。

gdm:图形界面相关的日志。

lastlog:显示系统中所有用户最后登录的时间。

libvirt:虚拟化相关的日志。(www.daowen.com)

miallog:邮件服务器日志。

messages:系统通用日志记录文件(没有特别指定日志文件的日志信息都会记录到此文件)。

ntpstats:时间同步服务相关的日志。

pm－powersave.log pm－suspend.log:电源管理(挂起和休眠)相关的日志。

prelink/prelink.log:记录库中分配的虚拟地址空间位置。

sa:收集系统运行的状态信息。

secure:涉及账号或密码安全的信息。

wtmp:系统账号登录成功的日志记录，必须用last命令查看。

xorg.*.log:xorg图形服务相关的日志。

很多服务日志会记录在/var/log/service＿name目录下进行归类管理，日志的存放位置可以自定义。