6.1 Formato do arquivo de log
Um arquivo de log é normalmente composto pelos seguintes campos: Data|Hora|Máquina|daemon|mensagem
O campo máquina é o nome do computador que registrou a mensagem (a máquina pode atuar como um servidor de logs registrando mensagens de diversos computadores em sua rede). O campo daemon indica qual programa gravou a mensagem.
O uso dos utilitários do console pode ajudar muito na pesquisa e monitoração dos logs, por exemplo, para obter todas as mensagens do daemon kernel da estação de trabalho wrk1, eliminando os campos "wrk1" e "kernel": cat /var/log/*|grep 'wrk1'|grep 'kernel'|awk '{print $1 $2 $3 $6 $7 $8 $9 $10 $11 $12}'
Os parâmetros "$1", "$2" do comando awk indica que campos serão listados, (omitimos $4 e $5 que são respectivamente "wrk1" e "kernel"). Um bom utilitário para monitoração de logs está documentado em logcheck, Seção 6.4.1[->0].
6.2 Daemons de log do sistema
Os daemons de log do sistema registram as mensagens de saída do kernel (klogd) e sistema (syslogd) nos arquivos em /var/log .
A classificação de qual arquivo em /var/log receberá qual tipo de mensagem é controlado pelo arquivo de configuração /etc/syslog.conf através de facilidades e níveis (veja Arquivo de configuração syslog.conf, Seção 6.2.1.1[->1] para detalhes).
6.2.1 syslogd
Este daemon controla o registro de logs do sistema. syslogd [opções] opções -f
Especifica um arquivo de configuração alternativo ao /etc/syslog.conf.
-h
Permite redirecionar mensagens recebidas a outros servidores de logs especificados.
-l [computadores]
Especifica um ou mais computadores (separados por ":") que deverão ser registrados somente com o nome de máquina ao invés do FQDN (nome completo, incluindo domínio).
-m [minutos]
Intervalo em minutos que o syslog mostrará a mensagem --MARK--. O valor padrão padrão é 20 minutos, 0 desativa.
-n
Evita que o processo caia automaticamente em background. Necessário principalmente se o syslogd for