Tel un journal de bord, les logs sont de simples fichiers texte contenant l'ensemble des événements qui ont affecté un système informatique et l'ensemble des actions qui ont éventuellement résulté de ces événements.
C'est l'utilitaire syslogd qui est chargé d'enregistrer les diverses activités du système, comme les avertissements lancés par le noyau. Son fichier de configuration /etc/syslog.conf définit l'endroit où doivent apparaître ces informations. Par exemple :
kern.*Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â /var/log/kern.log
Le premier champ de chaque ligne désigne le type de message (ici kern concerne les messages qui émanent du noyau) et le second champ correspond à l'endroit où ce message doit être consigné. Généralement, tous les fichiers de log se trouvent dans le répertoire /var/log/. On peut citer par exemple :
 /var/log/messages : contient tous les messages d'ordre général concernant la plupart des services et démons. Vous y trouverez les heures de connexion/déconnexion (réussie ou non).
 /var/log/secure : conserve une trace de toutes les connexions, de façon plus détaillée (adresse IP, port, service, etc.).
 /var/log/lastlog : contient les dernières connexions (dates et heures) des utilisateurs (attention, ce journal n'est pas consultable dans un visionneur graphique). Pour visualiser les dernières connexions, il faut lancer la commande lastlog dans une console.
 /var/log/cron : fichier log du service cron (planificateur système).
