常见几个登录档：

/var/log/cron：记录crontab运行情况和/etc/crontab是否正确。

/var/log/dmesg：记录系统在开机的时候核心检测过程产生的信息。

/var/log/lastlog：记录系统上面所有帐号最近一次登入系统时相关信息。

/var/log/maillog：记录邮件收发信息。

/var/log/messages：相当重要的文件，记录几乎系统发生错误的信息。

/var/log/secure：记录有关用密码登入系统时的相关信息

syslogd:主要登录系统与网络等服务信息。

klogd：主要登录档核心产生的各项信息。

logratate：主要在进行登录文件的轮替功能。

syslog：记录数据的数据有：

日期与时间 事件主机名 事件服务名称 实际内容

例：

[root@server ~]# cat /var/log/secure
Dec 15 19:47:53 server login: pam_securetty(remote:auth): access denied: tty 'pts/0' is not secure !
Dec 15 19:47:57 server login: FAILED LOGIN 1 FROM 192.168.222.118 FOR root, Authentication failure

Linux日记服务器设置

把某台主机当成，登录档的文件服务器，这样就方便把多台服务器上面的记录信息集中在一台机器上面，CentOS 5 预设的syslog本身已经具有这个登录文件服务器的功能了，只是默认没开启：

1. 服务端修改

[root@server sysconfig]# vi syslog
# Options to syslogd
# -m 0 disables 'MARK' messages.
# -r enables logging from remote machines
# -x disables DNS lookups on messages recieved with -r
# See syslogd(8) for more details
SYSLOGD_OPTIONS="-m 0"        #改成 SYSLOGD_OPTIONS="-m 0 -r"
# Options to klogd
# -2 prints all kernel oops messages twice; once for klogd to decode, and
#    once for processing with 'ksymoops'
# -x disables all klogd processing of oops messages entirely
# See klogd(8) for more details
KLOGD_OPTIONS="-x"
#
SYSLOG_UMASK=077
# set this to a umask value to use for all log files as in umask(1).
# By default, all permissions are removed for "group" and "other".

2.重启服务syslog，观察监听情况。
[root@server sysconfig]# /etc/init.d/syslog restart
Shutting down kernel logger: [  OK  ]
Shutting down system logger: [  OK  ]
Starting system logger: [  OK  ]
Starting kernel logger: [  OK  ]
[root@server sysconfig]# stat.html' target='_blank'>netstat -lunp | grep syslog
udp        0      0 0.0.0.0:514                 0.0.0.0:*                               31735/syslogd      

3.配置客户端

[root@server sysconfig]# vi /etc/syslog.conf
*.*    @192.168.222.79            #服务端的IP

通过以上简单的步骤,linux主机就可以接收来自其他主机的登录信息了。