In genere gli accessi al sistema vengono “loggati” (memorizzati in un file di log) nel file /var/run/utmp (man page utmp(5)), detto anche system status file. Questo non è un file di testo, ma per la lettura delle informazioni in esso contenute è necessario utilizzare degli appositi comandi. Tuttavia, è possibile che gli utenti presenti effettivamente nel sistema siano in numero maggiore di quelli che risultano leggendo tale file, a causa del fatto che non tutti i programmi usano il metodo di registrazione fornito attraverso questo file. Solitamente, è la procedura di inizializzazione del sistema a prendersi cura di questo file, azzerandolo o ricreandolo, a seconda della necessità.
Il file /var/log/wtmp ha una struttura analoga a quella di /var/run/utmp e serve per conservare la registrazione degli accessi e della loro conclusione (login-logout). Questo file non viene creato automaticamente: se manca, la conservazione delle registrazioni all’interno del sistema non viene effettuata. Viene aggiornato da init e anche dal programma che si occupa di gestire la procedura di accesso al sistema (login).
Anche il file /var/log/lastlog viene utilizzato da per registrare gli ultimi accessi al sistema.
Il comando logrotate semplifica l’amministrazione dei log, permette di comprimere, rimuovere ed inviare il log via e-mail oltre ad eseguire una “rotazione” di file con vari criteri. Il suo file di configurazione è /etc/logrotate.conf. In genere le regole di gestione dei singoli log sono inserite nella directory /etc/logrotate.d/. e gli script che eseguono logrotate sono inseriti nel crontab (v. cap. 9).
Esistono diversi strumenti per analizzare i log e verificare se contengono informazioni critiche o se sono stati in qualche modo modificati (traccia di una potenziale intrusione esterna). Il comando logwatch fornisce un sistema di monitoring dei log personalizzabile ed estendibile che permette l’analisi del system log e la notifica via e-mail all’amministratore. Il suo file di configurazione è /etc/log.d/conf/logwatch.conf. Nella directory /etc/log.d/conf/services ci sono le configurazioni per i diversi servizi i cui log possono essere processati da logwatch, mentre nella directory /etc/log.d/conf/logfiles ci sono le configurazioni sui log relativi ai servizi e nella diretory /etc/log/scripts ci sono i filtri predefiniti per analizzare diversi servizi e logfiles.