Tiếp sau là một ví dụ script cấu hình swatch đơn giản:
       watchfor /[dD]enied I /DEN.*ED/
            echo bold
            bell 3
            mail
            exec "/etc/call_pager 5551234 08"
            Trong  ví  dụ  này,  swatch  tìm  đến  dòng  có  chứa  từ
       “denied”, có thể là “Denied” hoặc bất cứ từ nào có bắt đầu
       bằng “den”  và  kết thức  với  “ed”.  Khi  mà  tìm  thấy,  nó bôi
       đen  dòng  tìm  thấy  và  chuyển  tới  thiết  bị  đầu  cuối  đồng
       thời rung chuông 3 lần.  Sau  đó,  swatch gửi mail tới người
       sử dụng svvatch  (là người có quyền truy cập tói các logíĩle
       đưỢc giám sát -  thông thường được giói hạn cho root) với  1
       cảnh  báo  và  thực  thi  chương  trình  /etc/call_pager  với  các
       lựa chọn đã đựoc đưa ra .
            Giám sát logíĩle có thể được coi như một hệ thốhg phát
       hiện xâm nhập theo một cách đặc biệt. Logs cũng chứa rất
       nhiều thông tin không trực tiếp lên quan đến sự xâm nhập
       (chỉ  là  những  thông  tin  mà  NIDS  nghe  trộm  được  trên
       đường  truyền).  Logs  có  thể  được  coi  như  một  cái  bể  lớn
       chứa  thông tin,  một  sô" thông tin bình  thường (như thông
       tin  về kết  nổi  của  người  chịu  trách  nhiệm,  thông  tin  cấu
       hình  lại  daemon...)  và  những  thông  tin  đáng  ngờ  chẳng
       hạn  như  thông  tin  về  đăng  nhập  từ  1  IP  động,  truy  cập
       root  một  cách  kỳ  lạ...  và  râ"t  nhiều  những  thông  tin
       (malicious)  chang  hạn  như  RPC  buffer  overflow  được  ghi
       nhận  từ  rpc.statd.  Xem  xét  và  chọn  lọc  toàn  bộ  những
       thông  tin  đó  chỉ  dễ  hơn  một  chút  so  với  lắng  nghe  trên
       mạng và  tìm  kiếm  những cuộc  tấn  công vào  web  hoặc  là
       các gói tin dị hình.
            Nếu  tất cả các  ứng  dụng  đều  có  một hệ  thổng  log an
       toàn mà tất cả các sự kiện xấu đều được ghi nhận và đóng