在ubuntu中要看ssh登录日志会发现是没有secure日志文件的，而是auth.log文件，实际这是由于centos和ubuntu配置的日志名称不一样。
下面是两者的区别。

# ubuntu中的配置
auth,authpriv.*			/var/log/auth.log
*.*;auth,authpriv.none		-/var/log/syslog
kern.*				-/var/log/kern.log
mail.*				-/var/log/mail.log
mail.err			/var/log/mail.err
*.emerg				:omusrmsg:*

# centos中的配置
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log

# 参数解释

# *.* 含义
第一个*代表所有设施代码
以下是一些常见的日志设施：
kern - 内核消息
user - 用户级别消息
mail - 邮件系统
daemon - 系统守护进程
auth - 安全/认证消息
syslog - syslogd 生成的消息
lpr - 行打印子系统
news - 网络新闻子系统
uucp - UUCP 子系统
cron - 计划任务子系统
authpriv - 安全/认证消息（私有）
ftp - FTP 守护进程

第二个*代表日志级别
在 syslog 中，每条日志消息都会根据其重要性被赋予一个优先级。这些优先级从最高到最低依次是：
emerg（紧急）: 表示系统不可用的紧急情况。
alert（警报）: 需要立即采取行动的情况。
crit（严重）: 表示重要系统组件的严重问题。
err（错误）: 非紧急的故障。
warning（警告）: 警告信息，可能会导致错误。
notice（通知）: 正常但值得注意的事件。
info（信息）: 一般性的信息性消息。
debug（调试）: 调试信息，通常只在开发时使用。

# none含义
auth.none表示不记录任何auth设施代码的日志消息。用于排除特定设施代码的日志，以避免重复记录或将其记录到不同的文件中。
例如，在配置*.*;auth,authpriv.none -/var/log/syslog中，
*.*会匹配所有消息，但是auth,authpriv.none会排除所有auth和authpriv设施的日志，这样它们就不会被记录

# , ; 逗号分号含义
逗号代表“和”的关系，比如auth,authpriv.* 就是auth和authpriv的所有级别日志
分号代表“排除”，比如*.*;auth,authpriv.none就是匹配所有设施代码的所有级别日志，但是排除auth和authpriv的所有日志

# - 减号含义
在rsyslog配置文件中，减号 - 代表使用异步方式写入日志。
这意味着日志消息会先被存储在内存中，然后在稍后的某个时间点批量写入磁盘。
这种方法可以减少磁盘I/O操作，提高性能，但如果系统突然崩溃，可能会丢失那些还没有被写入磁盘的日志消息

设施代码是在rsyslog配置中用来指定日志消息来源的标识符。这些代码帮助将日志消息分类，以便于管理和分析。
在UNIX和类UNIX系统中，日志消息被分为不同的设施，每个设施代表了系统的一个特定部分或者应用程序。
例如，kern代表内核消息，mail代表邮件系统消息，而auth代表认证系统消息。这些设施代码是根据标准和系统实现预定义的
而local0到local7是为本地使用保留的，可以由系统管理员自定义用途。