Os firewalls, dependendo de como foram configurados, podem gerar logs quando alguém tenta acessar um computador e este acesso é barrado pelo firewall. Sempre que um firewall gera um log informando que um determinado acesso foi barrado, isto pode ser considerado uma tentativa de ataque, mas também pode ser um falso positivo (vide seção 2.4).

Já os sistemas de detecção de intrusão podem gerar logs tanto para casos de tentativa de ataques, quanto para casos em que um ataque teve sucesso. Apenas uma análise detalhada pode dizer se uma atividade detectada por um IDS foi um ataque com sucesso. Assim como os firewalls, os sistemas de detecção de intrusão também podem gerar falsos positivos.