Windows 事件收集器过滤

下午好，感谢您花时间阅读我的问题！

我正在测试 WEC，源设备将日志发送到我的收集器，但出现了一些奇怪的行为。收集器和源都在运行 WS19。当我配置要监控的事件 ID 而不是收集所有事件 ID 时，我看到的情况是，如果列表中有两个以上的 ID，源设备会显示订阅，但随后会立即取消订阅，如果少于三个事件（1 或 2），它会保持订阅状态。现在有趣的是，如果我正在监控事件 4624（该事件位于取消订阅的订阅的过滤器中），它会转发事件，如果没有订阅，为什么会发送，这是正常行为吗？

此外，我还了解到，如果我在订阅过滤器中输入超过 22 个事件 ID，它根本不会发送事件。我不得不创建四个订阅才能完成我需要的操作，因为我只收集了 48 个事件。

只是想弄清楚这一点，似乎没有很多关于这一点的线程，而且我还没有找到任何关于每个订阅可以使用多少个的 MS 文档。