FLoP soll Alarme mit Zusatzinfo von verteilten Snort-Sensoren auf einem zentralen Server sammeln und sie in einer Datenbank speichern (PostgreSQL und MySQL werden unterstützt). Auf dem Sensor wird die Ausgabe an einen Prozess namens sockserv übergeben. Dieser Prozess besitzt mehrere Threads. Einer empfängt die Alarme und puffert sie und der andere sendet sie dem zentralen Server. Die Ausgabe ist von Snort entkoppelt, das weiter sniffen kann, anstatt auf die Ausgabe-Plugins zu warten. Am zentralen Server sammelt ein Prozess namens servsock alle Alarme von den Sensoren und speichert sie in der Datenbank. Eine kurze Beschreibung von Alarmen mit hoher Priorität zusammen mit der Datenbank-ID kann per Email an eine Liste von Empfängern gesandt werden. (non)