Depois de revisar o log de alerta, Jack percebe os detalhes do ataque de transbordamento de buffer. O log de alerta conteria informações como:

* Endereço IP de origem: O endereço IP do sistema tentando o ataque.
* Endereço IP de destino e porta: O endereço IP e a porta do servidor da Web que foram atacados.
* Timestamp: Quando o ataque ocorreu.
* Vetor de ataque: O método específico utilizado (por exemplo, transbordando um campo de entrada específico em um formulário da Web).
* Carga de pagamento: Os dados que causaram o transbordamento do buffer (embora isso possa ser parcial ou totalmente ofuscado).
* logs do sistema: Entradas dos logs do servidor da Web mostrando erros, falhas ou atividade incomum na época do ataque.
* Serviço afetado: O serviço da Web específico (por exemplo, um script CGI específico, arquivo php ou outro aplicativo) direcionado.


O log pode não dizer explicitamente "transbordamento de buffer", mas a combinação desses elementos sugere fortemente. Por exemplo, falhas de segmentação, terminação inesperada do programa ou padrões incomuns de acesso à memória nos logs do sistema apontariam para um estouro de buffer.