Windows 이벤트 수집기 필터링

오후입니다. 시간을 내어 제 질문을 읽어주셔서 감사합니다!

WEC를 테스트 중인데 소스 장치가 내 수집기로 로그를 보내지만 이상한 동작이 발생하는 것을 확인했습니다. 수집기와 소스 모두 WS19를 실행하고 있습니다. 모든 이벤트 ID를 수집하는 대신 모니터링할 이벤트 ID를 구성할 때 목록에 ID가 3개 이상 있으면 원본 장치에서 구독 구독을 표시하지만 이벤트가 3개 미만인 경우 즉시 구독을 취소합니다(1 또는 2) 구독 상태가 유지됩니다. 이제 재미있는 점은 구독 취소된 구독에 대한 해당 필터에 있는 이벤트 4624를 모니터링하는 경우 이벤트를 전달하는데, 구독되지 않은 경우 전송하는 이유는 무엇이며 이는 정상적인 동작입니까?

또한 구독 필터에 22개가 넘는 이벤트 ID를 넣으면 이벤트가 전혀 전송되지 않는다는 것을 알게 되었습니다. 48개의 이벤트만 수집하므로 필요한 것을 달성하기 위해 4개의 구독을 만들어야 했습니다.

이것을 알아내려고 노력했지만 이 문제에 대한 스레드가 많지 않은 것 같고 구독당 얼마나 많은 스레드를 사용할 수 있는지에 대한 MS 문서를 찾지 못했습니다.