Windows 事件收集器過濾

下午，感謝您抽空閱讀我的問題！

我正在測試 WEC，並發現來源設備將日誌發送到我的收集器，但有一些奇怪的行為。收集器和來源都運行 WS19。當我配置要監視的事件ID 而不是收集所有事件ID 時，我所看到的情況是，如果清單中有兩個以上的ID，則來源裝置會顯示正在訂閱該訂閱，但如果少於三個事件（1 或2)、它保持訂閱狀態。現在有趣的是，如果我正在監視未訂閱過濾器中的事件 4624，它會轉發該事件，如果未訂閱它為什麼會發送，這是正常行為嗎？

另外，我了解到，如果我在訂閱過濾器中放入超過 22 個事件 ID，它根本不會發送事件。我必須建立四個訂閱才能完成我的需要，因為我只收集 48 個事件。

只是想弄清楚這一點，似乎沒有很多關於此的線程，而且我還沒有找到任何關於每個訂閱可以使用多少個的 MS 文檔。