swatchのthreshold設定swatchでログを監視する場合、同じログが何度も出てくる場合に備えて間引き設定を行うことが多い。 指定時間の間、同じアクションの再実行を抑止するthrottle指定や、アクション実行を行うしきい値を指定するthreshold指定がある。ここではthresholdを使う場合に指定するtypeパラメータの意味について説明する。 以下にswatchのconfigのエントリ例を示す。ssh等による認証失敗のログを見つけたら、アクション(メール送信)を実行する動作を想定している。 swatchのconfig例 watchfor /authentication failure/ mail=foo@dummy.com,subject="Swatch detected authentichation failure" threshold track_by=/authf