Recibe mensajes de las diferentes partes del sistema y los envía y/o almacena en diferentes localizaciones siguiendo un criterio definido en el fichero de configuración /etc/syslog.conf, donde especificamos las reglas a seguir para gestionar el alamacenamiento de mensajes del sistemas.
Podemos ver que cada regla del archivo tiene dos campos: un campo de selección y un campo de acción, separados ambos por espacios o tabuladores. El campo de selección está comuesto a su vez de dos partes separadas por un punto: una que indica el servicio que envía el mensaje y otra que marca su prioridad, separadas por un punto; ambas son indiferentes a mayúsulas y minúsculas. La parte del servicio contiene una de las siguientes palabras clave: auth, auth=priv, cron daemon. kern, lpr, mail, mail, mark, news, security, syslog, user, uucp y local0 hasta local7; esta parte especifica el subsistemaque ha generado ese mensaje. En segundo lugar, la prioridad está compuesta de uno de los siguientes términos, en orden ascendente: debug, info, notice, warning, warn, err, error, crit, alert, emerg panic. La prioridad define la gravedad o importancia del mensaje almacenado. Todos los mensajes de la prioridad especificada y superiores son almacenados de acuerdo con la acción requerida.