Настраиваемая конфигурация RSYSLOG для фильтрации журналов

Я пытаюсь отфильтровать журнал audispd из /var/log/messages, audispd по умолчанию, отправив ему журнал, используя "user.info"

Моя текущая ситуация заключается в том, что /etc/rsyslog.conf совместно используется несколькими сетевыми компьютерами в сети, поэтому большинство пользовательских файлов конфигурации выполняются в /etc/rsyslog.d, у меня проблема в том, что кажется, что перенаправление журнала работает с пользовательскими файлами конфигурации, например, мой файл if /etc/rsyslog.d/user.conf

user.info       /var/auditd/audispd.log
&       ~

Это будет работать просто отлично, но для фильтрации, такой как пример ниже, не будет никакого эффекта, даже если бы я думал, что тот же самый синтаксис определенно будет работать, если я добавлю основные файлы конфигурации, которых я пытаюсь избежать здесь:

user.!=info     /var/log/messages
&       ~

На стороне сервера примечаний использует Rsyslog 5.8.10

PS: извините за мой плохой английский, так как это не мой основной язык:)

Спасибо
С уважением
Z