No Linux / Unix / Posix (mas a partir daqui eu apenas digo 'Linux') todos os logs são escritos como arquivos de texto - então qualquer coisa que lê arquivos de texto pode ler os logs.
O que você vê no MSWindows Event Viewer são as mensagens registradas pelo recurso de registro do sistema - não há nada que impeça que os aplicativos gravem registros em outro lugar (e às vezes há boas razões para não usar os recursos de registro do sistema). A mesma situação existe no Linux - existem 2 daemons que devem ser iniciados quando o sistema é inicializado - syslogd e klogd . O último registra as mensagens geradas a partir do kernel enquanto o primeiro registra as mensagens dos programas. O comportamento do Syslogd é configurável - o arquivo de configuração é geralmente /etc/syslog.conf
(os links que eu forneci aqui são para documentos que já deveriam estar disponíveis no seu sistema - tente digitar, por exemplo, 'man syslog' no prompt).
Por convenção, os arquivos de log devem estar em um diretório / var / log (/ var / adm / log em alguns sistemas). Geralmente, existe um programa como logrotate que periodicamente renomeia arquivos antigos e exclui arquivos muito antigos (também pode compactar arquivos) do diretório de log.
Então, para ver o que está acontecendo com os usuários fazendo o login no sistema, eu faria algo assim:
[symcbean@linux]$ su
password:
[root@linux]# cd /var/log
[root@linux]# ls
(omitirei a grande lista de arquivos gerados neste momento)
[root@linux]# less secure
o menos programa arquivos de texto na tela (e adiciona recursos para pesquisa e outros funcionalidade) e geralmente vem como padrão. Outro programa útil é tail que permite novas entradas à medida que são adicionadas ao arquivo. Existem versões aprimoradas, como multitail , que permitem ver vários arquivos e adicionar cor contextual à saída.
HTH
C.