Même sans se soucier de l'endroit où seront enregistrés les logs (un fichier disque, un système distant, ou bien même une imprimante), notre espace est limité. Lorsque le stockage est plein, les résultats que nous obtiendrons par la suite seront perdus. Les solutions les plus courantes sont : on arrête d'enregistrer, ou les anciennes entrées sont remplacées par les nouvelles.
Une attaque simple va remplir les logs avec des infomrations sans importance, ce qui va stopper les logs, et ensuite effectuer l'attaque avec l'IDS devenu inactif. Par exemple pour les port scans, les scans spoofés serviront à remplir les logs, et la véritable attaque pourrait être un vrai port scan, probablement suivie d'une attaque à proprement dite. Cet exemple montre comment un utilitaire de détection de port scans mal programmé peut-être utilisé pour empêcher d'enregistrer les traces d'une tentative d'intrusion, qui devrait être logé si le programme ne serait pas arrêté.
Une solution à ce problème serait de mettre une fréquence limite (c'est à dire pas plus de 5 messages pour 20 secondes) pour chaque type d'attaque diffèrentes, et, lorsque la limite est dépassée, enregistrer ce dépassement, et arrêter temporairement l'enregistrement des attaques de ce type. Pour les attaques ne pouvants être spoofées, de telles limites peuvent être mises par adresse source à la place. Puisque les port scans peuvent être spoofés, ceci laisse néanmoins la possibilité à l'attaquant de ne pas révéler sa véritable adresse, mais cette technique ne lui permettra pas de cacher une attaque diffèrente de cette manière, elle l'aurait fait si nous n'aurions pas implémenté la notion de fréquence limite. C'est ce qui est implémenté dans le programme scanlogd accompagnant cet article.
Une autre solution, qui possède les mêmes avantages et inconvénients, est d'allouer une place pour les messages recenscant chaque type d'attaque séparément. C'est deux solutions peuvent être implémentées simultanément.