Alerta de Ignorar OSSEC

Tenho o OSSEC 2.94 configurado e rodando no CentOS7. Eu envio e-mails mediante condições de alerta qualificadas. Tudo parece estar funcionando bem no que diz respeito ao envio de alertas. No entanto, todas as noites, como parte de um processo de backup, um servidor scp envia um arquivo para outro servidor. Assim, todas as manhãs recebo um alerta sobre esse login.

Há dias que tento, sem sucesso, ignorar aquele alerta. Ou seja, escreva uma regra OSSEC para não enviar um alerta sobre o login esperado.

O alerta que estou tentando ignorar é:

** Alert 1535623261.244876: mail  - pam,syslog,authentication_success,
2018 Aug 30 10:01:01 (myserver.mydomain.com) my.public.ip.addy ->/var/log/secure
Rule: 5501 (level 5) -> 'Login session opened.'
Aug 30 09:59:50 myhostname sshd[1611]: pam_unix(sshd:session): session opened for user dbBackupUser by (uid=10)

Tenho tentado escrever regras em /var/ossec/rules/local_rules.xml - como:

<group name="pam,syslog,authentication_success,">
  <rule id="104040" level="0">
    <if_sid>5501</if_sid>
    <user>dbBackupUser</user>
    <options>no_email_alert</options>
    <description>Attempt to ignore sshd logins by dbBackupUser.</description>
  </rule>
</group> <!-- pam,syslog,authentication_success, -->

...Eu tentei muitas variações desta regra. Este é apenas um exemplo.

Alguém pode me indicar o que posso estar fazendo de errado?

Eu estava usando este exemplo que encontrei como base:

  <!-- This example will ignore failed ssh logins for the user name XYZABC.
    -->
  <!--
  <rule id="100020" level="0">
    <if_sid>5711</if_sid>
    <user>XYZABC</user>
    <description>Example of rule that will ignore sshd </description>
    <description>failed logins for user XYZABC.</description>
  </rule>
  -->

Em última análise, gostaria que a regra de ignorar examinasse o IP src, bem como o nome de usuário, mas ainda não consegui fazê-la funcionar.

Obrigado!