Alerta de ignorar OSSEC

Tengo OSSEC 2.94 configurado y ejecutándose en CentOS7. Lo tengo enviando un correo electrónico sobre las condiciones de alerta calificadas. Todo parece funcionar correctamente en lo que respecta al envío de alertas. Sin embargo, cada noche, como parte de un proceso de copia de seguridad, un servidor envía un archivo a otro servidor. Por eso, cada mañana tengo una alerta sobre este inicio de sesión.

Llevo días intentando, sin éxito, ignorar esa alerta. Es decir, escriba una regla OSSEC para no enviar una alerta sobre el inicio de sesión esperado.

La alerta que intento ignorar es:

** Alert 1535623261.244876: mail  - pam,syslog,authentication_success,
2018 Aug 30 10:01:01 (myserver.mydomain.com) my.public.ip.addy ->/var/log/secure
Rule: 5501 (level 5) -> 'Login session opened.'
Aug 30 09:59:50 myhostname sshd[1611]: pam_unix(sshd:session): session opened for user dbBackupUser by (uid=10)

He estado intentando escribir reglas en /var/ossec/rules/local_rules.xml, como por ejemplo:

<group name="pam,syslog,authentication_success,">
  <rule id="104040" level="0">
    <if_sid>5501</if_sid>
    <user>dbBackupUser</user>
    <options>no_email_alert</options>
    <description>Attempt to ignore sshd logins by dbBackupUser.</description>
  </rule>
</group> <!-- pam,syslog,authentication_success, -->

...He probado muchas variaciones de esta regla. Este es sólo un ejemplo.

¿Alguien puede indicarme qué puedo estar haciendo mal?

Estaba usando este ejemplo que encontré como base:

  <!-- This example will ignore failed ssh logins for the user name XYZABC.
    -->
  <!--
  <rule id="100020" level="0">
    <if_sid>5711</if_sid>
    <user>XYZABC</user>
    <description>Example of rule that will ignore sshd </description>
    <description>failed logins for user XYZABC.</description>
  </rule>
  -->

En última instancia, me gustaría que la regla de ignorar examinara la IP de src y el nombre de usuario, pero todavía no he podido hacer que funcione.

¡Gracias!