Unix日志文件可以大致分为三个日志子系统：连接时间日志，进程统计日志，错误日志.
1）连接时间日志由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp中并通过login等程序更新wtmp和utmp文件.使系统管理员能够跟踪谁在何时登陆到系统.
2）进程统计日志由系统内核执行.当一个进程终止时，系统往进程统计文件中写一个记录.进程统计的目的是为系统中的基本服务提供命令使用统计.
3）错误日志由syslog执行，各种系统守护进程，用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件.另外，有许多程序也会创建日志.

包括安全审计记录，安全审计分析，审计事件查阅，审计事件存储。