Риман + распечатать событие / предупреждение, если оно произошло более 2 раз за 5 минут

Я получаю логи от logstash и отправляю сообщения с ошибкой на сервер riemann.

logsash message : message" => "Jul 10 04:34:47 : [ERROR] [host] Sample abc123"

В riemann мне нужно написать логику, чтобы найти, если одна и та же ОШИБКА встречается более 2 раз для одного и того же образца (то есть образца abc 123) за 5 минут, тогда я должен предупредить / распечатать на консоли (в настоящее время я пытаюсь распечатать для проверки)

ниже моя логика для достижения этой цели, в настоящее время она печатает только ноль, а не сообщение, может кто-нибудь, пожалуйста, помогите мне здесь.

(by [:message]      

 ;; over time windows of 5 seconds...
    (fixed-time-window 5

        ;; calculate the average value of the metric and emit an average (summary) event
        (combine folds/mean

            ;; collect the summary event over the last 3 fixed-time-windows
            (moving-event-window 2

                ;;find the summary event with the minimum average metric
                (combine folds/minimum
                     (where (> metric 2.0)
                       prn
                       ;;(email "xyz")
                     )
                )
            )
        )
    )
)

(Он печатает сообщение каждые 2 секунды, если я использую только фиксированное временное окно и ничего больше, но я хочу печатать, только если один и тот же образец происходит 2 раза за 5 минут)

Риман событие, например:

:service "logstash", 
:time 1468920656, 
:state "critical", 
:host "0.0.0.0", 
:ttl nil, 
:message "Jul 11 04:34:47  <hostname>: [ERROR] [xyz] - Sample abc123 causes problem for ...""