Rev.1を表示中。最新版はこちら。

swatchのthreshold設定

swatchでログを監視する場合、同じログが何度も出てくる場合に備えて間引き設定を行うことが多い。

指定時間の間、同じアクションの再実行を抑止するthrottle指定や、アクション実行を行うしきい値を指定するthreshold指定がある。ここではthresholdを使う場合に指定するtypeパラメータの意味について説明する。

以下にswatchのconfigのエントリ例を示す。ssh等による認証失敗のログを見つけたら、アクション(メール送信)を実行する動作を想定している。

swatchのconfig例

watchfor /authentication failure/
    mail=foo@dummy.com,subject="Swatch detected authentichation failure"
    threshold track_by=/authfail/,type=both,count=3,seconds=300

この設定では、しきい値は3、Intervalは300secを指定している。typeにはlimit,threthold,bothが設定できるが、各設定ごとにどのような動作になるかを以下に示す。