A számunkra fontos log file-okat általában a /var/log/ könyvtár alatt találjuk. Ezek közül a 'messages', a 'secure', a 'spooler' és a 'maillog' az, ami alapértelmezésben létezik. Tartalmuk általában a syslog() függvényhívás segítségével keletkezik.
A /etc/syslog.conf-ban beállítható, mit és hova szeretnénk logolni. A ,,mit'' nagyrészt csak attól függ, mennyi információt akarunk kapni a rendszer működéséről. A ,,hova'' azért fontos, mert egy betörés esetén a betörő megváltoztathatja a logokat, ha azok a gépen vannak tárolva. Ha logjainkat biztonságban szereténk tudni, irányítsuk át őket nyomtatóra vagy egy másik gépre, ahol nincsenek helyi felhasználók és nem fut semmilyen szolgáltatás (mail, httpd, telnet, ftp, stb.), amit felhasználva a gép feltörhető. Az átirányításra a syslogd is kínál lehetőséget, de érdemes a kapcsolatot ssh-val forwardolni, így egy sniffer elől is biztonságban vannak.