OSSEC | Cómo agregar una regla de excepción

Question

Tengo el syslog_rules.xml estándar (OSSEC 2.6.0). Esta es la regla estándar de malas palabras en el /var/log/messages expediente:

<var name="BAD_WORDS">core_dumped|failure|error|attack|bad |illegal |denied|refused|unauthorized|fatal|failed|Segmentation Fault|Corrupted</var>
.....    
<rule id="1002" level="2">
<match>$BAD_WORDS</match>
<options>alert_by_email</options>
<description>Unknown problem somewhere in the system.</description>
</rule>
.....

¿Cómo puedo agregar o modificar esta regla que usa $BAD_WORDS, pero excluye el auxpropfunc error ¿frase? Es decir, algo como esto:

<match>$BAD_WORDS</match>
<match>!auxpropfunc error</match>
<options>alert_by_email</options>

¿Algunas ideas?