Linux保存了系统中所发生事件的详细记录，这些记录称作日志文件或消息文件。可以查阅日志文件来确定系统当前状态，观察入侵者踪迹，寻找某特定程序(或事件)相关的数据。syslogd与klogd(监控linux内核提交的消息)守护进程负责记录，发送系统或工具产生的信息，二者的配置文件都是/etc/syslog.conf。当系统内核或工具产生信息时，通过调用相关函数将信息发送到syslogd或klogd守护进程。syslogd与klogd守护进程会根据/etc/syslog.conf中的配置信息，对消息的去向作出处理。syslog协议的详细描述在RFC3164中。
    logrotate工具用来定期重命名、压缩、邮递系统日志文件，它可以保证日志文件不会占用太大的磁盘空间。
    1、配置文件/etc/syslog.conf： syslog.conf是syslogd进程的配置文件，将在程序启动时读取，默认位置是/etc/syslog.conf。这个配置文件中的空白行和以'#'开头的行将被忽略。'facility.level'部分也被称为选择符(seletor)。 seletor和action之间使用一个或多个空白分隔。它指定了一系列日志记录