请问怎样才能看得出系统是非法关机？(redhat9的系统)

公司一台redhat linux9的服务器前几天连不上了，我以为是死机，叫机房重启了
重启几个小时后再次连不上，当时正好是晚上，我决定第二早上再弄
也就是今天早上，我突然发现能连上了，用netstat -an |more查看，有一些不明来源的IP在连接服务器的22端口(重启后系统未开启任何服务)，是syn flood包，于是我把openssh升级到最新版，而且把默认的22端口改成1022

不出五分钟，服务器再次连不上了

于是再叫机房重启，连上后不出五分钟再断线
然后隔了约半小时，又能再连接了
如此反复，大约隔小时就能连上，但约五分钟又断线

查看系统日记，系统被重启了

我现在想知道系统是不是非法重启，但我不知道在哪里查看(/var/log目录里所有文件都看过了，但没找到)
因为我必须排查是系统硬件问题还是有人在恶意攻击


请各人达人帮忙