Windows イベント コレクター フィルタリング

こんにちは。私の質問を読んでくださりありがとうございます。

WEC をテストしていて、ソース デバイスがログをコレクターに送信するようになりましたが、奇妙な動作があります。コレクターとソースの両方で WS19 を実行しています。すべてのイベントを収集するのではなく、監視するイベント ID を構成するときに表示される内容は、リストに 2 つ以上の ID がある場合、ソース デバイスはサブスクリプションをサブスクライブしていることを示しますが、すぐにサブスクライブを解除します。イベントが 3 つ未満 (1 または 2) の場合は、サブスクライブされたままになります。面白いのは、サブスクライブ解除されたサブスクリプションのフィルターにあるイベント 4624 を監視している場合、イベントが転送されることです。サブスクライブされていない場合はなぜ送信されるのでしょうか。これは正常な動作ですか?

また、サブスクリプションのフィルターに 22 を超えるイベント ID を入力すると、イベントがまったく送信されないことがわかりました。 48 個のイベントのみを収集しているため、必要なことを実現するには 4 つのサブスクリプションを作成する必要がありました。

これを理解しようとしているのですが、これに関するスレッドはあまりないようで、サブスクリプションごとにいくつ使用できるかについての MS ドキュメントも見つかりませんでした。