Wenn die Portfilter-Firewall ein entsprechendes Paket verwirft, wird über Syslog eine Meldung ausgegeben, z. B.:
PACKET_ALERT: Dst: 192.168.200.10:80 {}, Src: 10.0.0.37:4353 {} (TCP): port filter
Die Ports werden dabei nur bei portbehafteten Protokollen ausgegeben. Zusätzlich werden Rechnernamen dann ausgegeben, wenn das Gerät diese direkt (d.h. ohne weitere DNS-Anfrage) auflösen kann.
Werden für einen Filter die Syslog-Meldungen aktiviert (%s-Aktion), so wird diese Meldung ausführlicher. Dann werden Name des Filters, überschrittenes Limit, sowie ausgeführte Aktionen zusätzlich mit ausgegeben. Für das obige Beispiel könnte die Meldung dann so aussehen:
PACKET_ALERT: Dst: 192.168.200.10:80 {}, Src: 10.0.0.37:4353 {} (TCP): port filter PACKET_INFO: matched filter: BLOCKHTTP exceeded limit: more than 0 packets transmitted or received on a connection actions: drop; block source address for 1 minutes; send syslog message;