èñïîëüçîâàòü regexp èëè iregexp

Имеется ввиду что ключ vfs.file.regexp[file, regexp] устанавливает last value при каждом опросе?

Дело в том, что regexp будет находить первое вхождение в указанном файле, в то время как log ищет нужную строку в новых записях.
Как же быть в данном случае?

1)ñîçäàåòå èòåì ñ òèïîì ëîã. Íàïðèìåð error.log
2) ñîçäàåòå òðèããåð {Template_Linux:error.log.iregexp(rpcuser)}

Íàâåðíîå òàê

Äóìàþ ìîæíî åùå èñïîëüçîâàòü .regexp(), .str()

iregexp - Íå ÷óâñòâèòåëüíàÿ ê ðåãèñòðó ïðîâåðêà
regexp - Âèäèìî ÷óâñòâèòåëüíàÿ
str - èùåò â âîçâðàùåííîì ðåçóëüòàòå ïîäñòðîêó.

Íó à ïîäðîáíåå â ìàíóàëå êà êýòî èñïîëüçîâàòü (ñòð 126-127)

Ýòî ìíå ÿñíî - âîïðîñ â äðóãîì.
last value äëÿ êëþ÷à òèïà log óñòàíàâëèâàåòñÿ íå êàæäûé ðàç âî âðåìÿ îïðîñà (êàê ñ ëþáûì äðóãèì êëþ÷îì), à òîëüêî êîãäà ïîÿâëÿåòñÿ íîâàÿ çàïèñü â ëîãå.
 èòîãå ïîëó÷àåòñÿ åñëè ïðîèçîøëî èíòåðåñóþùåå ìåíÿ ñîáûòèå, òî òðèããåð (íàñòðîåííûé íà ïîèñê ñòðîêè ïî str, ê ïðèìåðó), âçâåäåòñÿ è áóäåò îñòàâàòüñÿ â òàêîì ïîëîæåíèè.
ß ïðîñìàòðèâàþ /var/log/auth.log íà ïðåäìåò ïîïûòîê ïîäáîðà ïàðîëåé ïî ssh. Êàê òîëüêî òàêîå îáíàðóæèâàåòñÿ, âçâîäèòñÿ òðèããåð è âûïîëíÿåòñÿ áëîêèðîâêà àäðåñà, ñ êîòîðîãî ïðîèçâîäèòñÿ ïîäáîð. Ïðîáëåìà â òîì, ÷òî òðèããåð òàê è îñòàåòñÿ âêëþ÷åííûì.
Ïîêà ðåøèë ïðîáëåìó òàê - äîáàâèë â ñêðèïò, çàïóñêàåìûé ïî òðèããåðó çàïèñü â /var/log/auth.log ñòðî÷êè, êîòîðàÿ ñáðàñûâàåò ñîñòîÿíèå òðèããåðà.
Ýòî êîíå÷íî êîñòûëü, õîòåëîñü áû ÷òîáû ðàçðàáîò÷èêè ÷òî-òî ïðèäóìàë êàê ìîæíî ñðåäñòâàìè çàááèêñà ðåøèòü ïîäîáíóþ ïðîáëåìó.