Правило, добавленное пользователем, будет использоваться вместо правила из источника. Причина поведения в следующем. С-Терра СОВ загружает источники правил:
suricata/ptsecurity-malware.rules
suricata/ptsecurity-info.rules
suricata/ptsecurity-attack.rules
suricata/ptsecurity-tools.rules
suricata/ptsecurity-remote.rules
suricata/classification.config
/home/sem/project/suricata-update/local/local.rules
/etc/suricata/rules/app-layer-events.rules
/etc/suricata/rules/decoder-events.rules
/etc/suricata/rules/dhcp-events.rules
/etc/suricata/rules/dnp3-events.rules
/etc/suricata/rules/dns-events.rules
/etc/suricata/rules/files.rules
/etc/suricata/rules/http-events.rules
/etc/suricata/rules/ipsec-events.rules
/etc/suricata/rules/kerberos-events.rules
/etc/suricata/rules/modbus-events.rules
/etc/suricata/rules/nfs-events.rules
/etc/suricata/rules/ntp-events.rules
/etc/suricata/rules/smb-events.rules
/etc/suricata/rules/smtp-events.rules
/etc/suricata/rules/stream-events.rules
/etc/suricata/rules/tls-events.rules
После загрузки сортирует их по имени. Из-за того, что знак «/» не является буквой, элементы с ним идут перед файлами из источников. Файлы из источников с их относительными путями из своих архивов/файлов попадают в конец списка.
Правила же, добавленные пользователем, указываются с абсолютными путями, поэтому будут прочитаны раньше, чем правила из источников, и не будут заменены:
/etc/suricata/rules/app-layer-events.rules
/etc/suricata/rules/decoder-events.rules
/etc/suricata/rules/dhcp-events.rules
/etc/suricata/rules/dnp3-events.rules
/etc/suricata/rules/dns-events.rules
/etc/suricata/rules/files.rules
/etc/suricata/rules/http-events.rules
/etc/suricata/rules/ipsec-events.rules
/etc/suricata/rules/kerberos-events.rules
/etc/suricata/rules/modbus-events.rules
/etc/suricata/rules/nfs-events.rules
/etc/suricata/rules/ntp-events.rules
/etc/suricata/rules/smb-events.rules
/etc/suricata/rules/smtp-events.rules
/etc/suricata/rules/stream-events.rules
/etc/suricata/rules/tls-events.rules
/home/sem/project/suricata-update/local/local.rules
suricata/classification.config
suricata/ptsecurity-attack.rules
suricata/ptsecurity-info.rules
suricata/ptsecurity-malware.rules
suricata/ptsecurity-remote.rules
suricata/ptsecurity-tools.rules
При смене ревизии правила пользователем и последующем обновлении того же правила из базы, если номера ревизий будут совпадать, в журнале аудита /var/log/syslog будет выдано сообщение (не в реальном моменте времени, а только если произойдёт еще какая-либо ошибка: "23/11/2022 -- 14:04:26 - <Warning> -- Found duplicate rule SID 2 with same revision, keeping the first rule seen."