Por que esta linha está incluída no email de relatório 'logcheck'?

Além dos conjuntos de regras fornecidos pelo Debian, eu adicionei um arquivo /etc/logcheck/ignore.d.workstation/wpasupplicant.local (root do proprietário: logcheck, modo 0644) à minha configuração de verificação de log recém-instalada. Confirmei que o REPORTLEVEL está configurado como "workstation" em /etc/logcheck/logcheck.conf. O conteúdo de wpasupplicant.local é a única linha:

^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ wpa_supplicant\[[[:digit:]]+\]: wlan0: WPA: Group rekeying completed with XX:XX:XX:XX:XX:XX \[GTK=CCMP\]$

onde XX: XX: XX: XX: XX: XX é o endereço MAC hexadecimal do meu WiFi / gateway WiFi.

No entanto, ainda estou recebendo relatórios de email por hora (sempre que o logcheck é executado), que inclui o seguinte (o tempo varia; configurei a recriação a ser feita em intervalos bastante curtos):

Aug 11 20:06:51 yeono wpa_supplicant[2524]: wlan0: WPA: Group rekeying completed with XX:XX:XX:XX:XX:XX [GTK=CCMP]

Novamente, XX: XX: XX: XX: XX: XX é o endereço MAC hexadecimal em minúsculas ao qual estou me conectando. Verifiquei novamente se os endereços MAC mostrados são os mesmos em ambos.

Se eu fizer grep -E --color "$(cat wpasupplicant.local)" - e depois colar a linha de log copiada diretamente do email de log no stdin do grep, isso indica uma correspondência completa (a linha inteira é ecoada de volta para mim, colorida de vermelho).

Como os dados correspondem a algo no diretório ignore adequado, eu esperaria que essa linha não fosse incluída no relatório de email. Eu verifiquei /etc/logcheck/violations.d e /etc/logcheck/cracking.d e nenhum parece conter nada relevante ( grep -i WPA * nesses dois diretórios aparecem vazios).

Qual pode ser a razão pela qual a linha "rekeying completed" está incluída no e-mail do relatório de logcheck?