Почему не удаётся перезаписать правило ossec?

Question

[Владимир Серёгин]

Ситуация: пытаюсь перезаписать правило ossec (добавить его в исключения).
Пишу в local_rules.xml:

<rule id="5301" level="0" overwrite="yes">
   <if_sid>5300</if_sid>
   <match>authentication failure; |failed|BAD su|^-</match>
   <description>User missed the password to change UID (user id).</description> 
   <group>authentication_failed,</group>
</rule>

ossec-logtest при запуске выдает "ossec-analysisd: Overwrite rule '5301' not found."

При попытке написать что-то типа

<rule id="100008" level="0">
    <if_sid>5301</if_sid>
</rule>

ossec-logtest при запуске выдает "Signature ID '5301' not found. Invalid 'if_sid'."

При этом ossec отказывается запускаться и в логе пишет:
ossec-testrule(1220): ERROR: Error loading the rules: 'local_rules.xml'.

Правило '5301' находится в файле syslog_rules.xml, этот файл включен в ossec.conf. Файл local_rules.xml тоже включен.
Оба файла доступны на чтение пользователю ossec.

Answer 1

[Владимир Серёгин]

Уже нашел ответ(Долго искал, может кому-то поможет):

Нужно в файле ossec.conf изменить последовательность include:
До:

<rules>
    <include>local_rules.xml</include>
...
    <include>syslog_rules.xml</include>
  </rules>

После:

<rules>
    <include>syslog_rules.xml</include>
...
    <include>local_rules.xml</include>
  </rules>

То есть local_rules должны инклюдиться после всех остальных правил.