Syslog ID 30201[3-6]

302014で表示される転送量(Bytes)は、送受信ともに含む転送量を表しているよう。(マニュアル上には転送量という表記しかない。)302016についても、同じものと推測される。
302013は、inboundとoutboundの２通りの結果が有る。それぞれログを読むとき、inboundの場合、左から、送信元の情報、宛て先の情報と読み、outboundの場合、宛て先の情報、送信元の情報と読むと分かりやすい。302015についても同様。

inbound ... for (送信元情報) to (宛て先情報)
outbound ... for (宛て先情報) to (送信元情報)

だれが、いつ、どこに、どのポート番号を使うアプリケーションを使っていたかを検索したい場合、302013と302015を探す。つぎにBuilt inboundか、Built outboundかを確認する。inboundであれば、for の後には、送信元の情報、toの後には、宛て先の情報が表示される。この場合、toの後の情報を読めば宛て先の特定と(多くの場合、)アプリケーションを推定が行える。
outboundであれば、送信元の情報と宛て先の情報が逆で、forの後に宛て先の情報が表示される。