No Linux / Unix / Posix (mas daqui em diante vou dizer 'Linux') todos os logs são escritos como arquivos de texto - para que qualquer coisa que leia arquivos de texto possa ler os logs.
O que você vê no MSWindows Event Viewer são as mensagens registradas pelo recurso de log do sistema - não há nada para impedir que os aplicativos gravem logs em outros lugares (e às vezes existem boas razões para não usar os recursos de log do sistema). A mesma situação existe no Linux - existem 2 daemons que devem ser iniciados quando o sistema inicializar - syslogd e klogd . O último registra as mensagens geradas a partir do kernel, enquanto o primeiro registra as mensagens dos programas. O comportamento do Syslogd é configurável - o arquivo de configuração geralmente é /etc/syslog.conf
(os links que forneci aqui são para documentos que já devem estar disponíveis no seu sistema - tente digitar, por exemplo, 'man syslog' no prompt).
Por convenção, os arquivos de log devem estar em um diretório / var / log (/ var / adm / log em alguns sistemas). Geralmente, existe um programa como logrotate que renomeia periodicamente arquivos antigos e exclui arquivos muito antigos (também pode compactar arquivos) do diretório de log.
Então, para ver o que está acontecendo com os usuários que efetuam logon no sistema, eu faria algo como:
[symcbean@linux]$ su
password:
[root@linux]# cd /var/log
[root@linux]# ls
(Omitirei a grande lista de arquivos gerados neste momento)
[root@linux]# less secure
o menos programa pagina os arquivos de texto na tela (e adiciona facilidades para pesquisa e outras funcionalidades) e geralmente vem como padrão. Outro programa útil é o tail, que permite novas entradas à medida que são adicionadas ao arquivo. Existem versões aprimoradas, como multitail, que permitem visualizar vários arquivos e adicionarão cores contextuais à saída.
HTH
C.